I ricercatori di cybersecurity hanno individuato una nuova campagna di phishing condotta dal gruppo di hacker legato alla Corea del Nord, noto come ScarCruft (anche chiamato APT37), per distribuire un malware conosciuto come RokRAT. L’attività è stata denominata Operazione HanKook Phantom da Seqrite Labs, che ha dichiarato che gli attacchi sembrano mirare a individui associati all’Associazione Nazionale di Ricerca sull’Intelligence, inclusi accademici, ex funzionari governativi e ricercatori.
Secondo il ricercatore di sicurezza Dixit Panchal, “gli aggressori probabilmente mirano a rubare informazioni sensibili, stabilire una presenza persistente o condurre attività di spionaggio”. Il punto di partenza della catena di attacco è un’email di spear-phishing contenente un’esca per il “National Intelligence Research Society Newsletter—Issue 52”, una newsletter periodica emessa da un gruppo di ricerca sudcoreano focalizzato su intelligence nazionale, relazioni lavorative, sicurezza ed energia.
come funziona l’attacco
Il messaggio digitale contiene un allegato in formato ZIP che include un collegamento di Windows (LNK) camuffato da documento PDF. Quando aperto, lancia la newsletter come diversivo mentre installa RokRAT sull’host infetto. RokRAT è un malware noto associato ad APT37, capace di raccogliere informazioni di sistema, eseguire comandi arbitrari, enumerare il file system, catturare schermate e scaricare payload aggiuntivi. I dati raccolti vengono esfiltrati tramite Dropbox, Google Cloud, pCloud e Yandex Cloud.
Seqrite ha rilevato una seconda campagna in cui il file LNK funge da condotto per uno script PowerShell che, oltre a rilasciare un documento Microsoft Word come diversivo, esegue uno script batch di Windows offuscato responsabile del dispiegamento di un dropper. Il binario esegue quindi un payload di fase successiva per rubare dati sensibili dall’host compromesso, mascherando il traffico di rete come un caricamento di file di Chrome.
documenti esca e obiettivi
Il documento esca utilizzato in questo caso è una dichiarazione emessa da Kim Yo Jong, Vice Direttore del Dipartimento di Pubblicità e Informazione del Partito dei Lavoratori di Corea, datata 28 luglio, che respinge gli sforzi di riconciliazione di Seoul. “L’analisi di questa campagna evidenzia come APT37 (ScarCruft/InkySquid) continui a impiegare attacchi di spear-phishing altamente mirati, sfruttando loader LNK dannosi, esecuzione PowerShell senza file e meccanismi di esfiltrazione nascosti”, ha affermato Panchal.
Gli aggressori mirano specificamente ai settori governativi sudcoreani, istituti di ricerca e accademici con l’obiettivo di raccogliere intelligence e condurre spionaggio a lungo termine. Questo sviluppo arriva mentre la società di cybersecurity QiAnXin ha dettagliato attacchi montati dal famigerato Lazarus Group (anche noto come QiAnXin) utilizzando tattiche in stile ClickFix per ingannare i cercatori di lavoro a scaricare un presunto aggiornamento NVIDIA per risolvere problemi di fotocamera o microfono durante una valutazione video. I dettagli di questa attività sono stati precedentemente divulgati da Gen Digital a fine luglio 2025.
considerazioni finali
Questa nuova campagna di phishing dimostra ancora una volta quanto siano sofisticati e mirati gli attacchi informatici moderni. L’uso di tecniche avanzate come i loader LNK e l’esecuzione di PowerShell senza file sottolinea la necessità di una vigilanza costante e di misure di sicurezza aggiornate. È fondamentale che le organizzazioni e gli individui siano consapevoli di queste minacce e adottino pratiche di sicurezza informatica robuste per proteggere le loro informazioni sensibili. La collaborazione tra ricercatori di sicurezza e aziende è essenziale per contrastare efficacemente queste minacce in continua evoluzione.
Fonte: The Hackers News Per saperne di più
