Se ha encontrado un grupo de piratas informáticos de Corea del Norte desplegando el Troyano RokRat en una nueva campaña de phishing dirigido contra el gobierno de Corea del Sur.

Al atribuir el ataque a APT37 (también conocido como Starcruft, Ricochet Chollima o Reaper), Malwarebytes dijo que identificó un documento malicioso en diciembre pasado que, cuando se abre, ejecuta una macro en la memoria para instalar la herramienta de acceso remoto (RAT) antes mencionada.

«El archivo contiene una macro incrustada que utiliza una técnica de autodescodificación de VBA para decodificarse a sí misma dentro de los espacios de memoria de Microsoft Office sin escribir en el disco. Luego incrusta una variante de RokRat en el Bloc de notas», señalaron los investigadores en un análisis del miércoles.

Se cree que está activo al menos desde 2012, Reaper APT es conocido por su enfoque en entidades públicas y privadas principalmente en Corea del Sur, como entidades químicas, electrónicas, manufactureras, aeroespaciales, automotrices y de atención médica. Desde entonces, su victimología se ha expandido más allá de la península de Corea para incluir a Japón, Vietnam, Rusia, Nepal, China, India, Rumania, Kuwait y otras partes del Medio Oriente.

Si bien los ataques anteriores aprovecharon los documentos del procesador de textos Hangul (HWP) vinculados con malware, el uso de archivos VBA Office autodescodificados para entregar RokRat sugiere un cambio en las tácticas para APT37, dijeron los investigadores.

El documento de Microsoft VBA cargado en VirusTotal en diciembre pretendía ser una solicitud de reunión con fecha del 23 de enero de 2020, lo que implica que los ataques tuvieron lugar hace casi un año.

La principal de las responsabilidades de la macro incrustada en el archivo es inyectar shellcode en un proceso Notepad.exe que descarga la carga útil de RokRat en formato cifrado desde una URL de Google Drive.

RokRat, documentado públicamente por primera vez por Cisco Talos en 2017, es una RAT de elección para APT37, y el grupo la usa para varias campañas desde 2016. Una puerta trasera basada en Windows distribuida a través de documentos troyanizados, es capaz de capturar capturas de pantalla, registrar pulsaciones de teclas , evadiendo el análisis con detecciones anti-máquina virtual y aprovechando las API de almacenamiento en la nube como Box, Dropbox y Yandex.

En 2019, la RAT basada en servicios en la nube obtuvo funciones adicionales para robar información de dispositivos Bluetooth como parte de un esfuerzo de recopilación de inteligencia dirigido contra empresas de inversión y comercio en Vietnam y Rusia y una agencia diplomática en Hong Kong.

«El caso que analizamos es uno de los pocos en los que no usaron archivos HWP como sus documentos de phishing y en su lugar usaron documentos de Microsoft Office armados con una macro de decodificación automática», concluyeron los investigadores. «Esa técnica es una elección inteligente que puede eludir varios mecanismos de detección estática y ocultar la intención principal de un documento malicioso».