RokRAT-Malware
Die nordkoreanische Terrorgruppe APT37 (auch bekannt als ScarCruft) wird mit einer ausgeklügelten, mehrstufigen Cyberkampagne in Verbindung gebracht, die Social Engineering über Facebook nutzt. Die Angreifer nehmen Kontakt auf, indem sie Freundschaftsanfragen senden und schrittweise Vertrauen aufbauen, bevor sie die Interaktion in einen Kanal zur Verbreitung von Schadsoftware umwandeln. Diese gezielte Manipulation ermöglicht letztendlich die Installation des Remote-Access-Trojaners RokRAT.
Inhaltsverzeichnis
Waffe der Wahl: Die Evolution von RokRAT
RokRAT ist nach wie vor die primäre Schadsoftware der Gruppe und hat sich im Laufe der Zeit deutlich weiterentwickelt, unter anderem durch Anpassungen an Plattformen wie macOS und Android. Die kontinuierliche Weiterentwicklung unterstreicht die anhaltenden Investitionen in die operativen Abläufe.
Die Schadsoftware ist in der Lage, ein breites Spektrum an schädlichen Aktivitäten auszuführen, darunter:
- Abgreifen von Zugangsdaten und Exfiltration sensibler Daten
- Screenshot-Erstellung und Systemerkundung
- Ausführung von Befehlen und Shellcode
- Datei- und Verzeichnismanipulation
Um seine Aktivitäten zu verschleiern, speicherten frühere Varianten gestohlene Daten im MP3-Dateiformat. Darüber hinaus verschleiert RokRAT seine Kommando- und Kontrollkommunikation (C2), indem es Daten über legitime Cloud-Plattformen wie Dropbox, Microsoft OneDrive, pCloud und Yandex Cloud leitet.
Vertrauen als Angriffspunkt: Manipulation in sozialen Medien
Die Kampagne beginnt mit der Erstellung gefälschter Facebook-Profile, die angeblich in Pjöngjang und Pjöngjang ansässig sind. Diese Konten dienen dazu, potenzielle Opfer zu identifizieren und zu bewerten. Sobald eine Verbindung hergestellt ist, verlagern sich die Gespräche auf den Messenger, wo sorgfältig ausgewählte Themen angesprochen werden, um Vertrauen und Engagement zu vertiefen.
Eine entscheidende Taktik ist das Vortäuschen, einen speziellen PDF-Viewer zu installieren, indem man den Angreifern vorgaukelt, dieser sei für den Zugriff auf verschlüsselte Militärdokumente erforderlich. Die angebotene Anwendung ist eine modifizierte Version von Wondershare PDFelement, die mit Schadcode versehen ist. Nach der Ausführung ermöglicht das Installationsprogramm den Angreifern den Zugriff auf das System.
Mehrschichtige Täuschung: Fortgeschrittene Übermittlungs- und Ausweichtechniken
Die Angriffskette zeugt durch die Kombination mehrerer Ausweichstrategien von einem hohen Grad an Raffinesse:
- Verwendung von mit Trojanern infizierter, legitimer Software zur Umgehung von Verdachtsmomenten
- Ausnutzung kompromittierter, aber vertrauenswürdiger Webinfrastruktur für C2-Operationen
- Schadsoftware wird als harmlose Datei getarnt, beispielsweise als JPG-Bild.
Die Angreifer nutzten eine kompromittierte Website, die mit der Seouler Niederlassung eines japanischen Immobilienunternehmens verknüpft war, um Befehle und Schadsoftware zu verbreiten. Die zweite Schadsoftware-Phase erscheint als harmlose Bilddatei und verschleiert so die eigentliche RokRAT-Aktivierung.
Mehrstufige Umsetzung: Vom ersten Kontakt bis zum vollständigen Kompromiss
Die Angriffssequenz verläuft in mehreren koordinierten Phasen. Die Angreifer erstellten am 10. November 2025 Facebook-Konten mit den Namen „richardmichael0828“ und „johnsonsophia0414“. Nach dem Aufbau einer Beziehung wird die Kommunikation auf Telegram umgeleitet, wo die Opfer ein ZIP-Archiv erhalten, das den schädlichen PDF-Viewer, Köderdokumente und Installationsanweisungen enthält.
Die Ausführung des manipulierten Installationsprogramms löst verschlüsselten Shellcode aus, der eine Verbindung zu einer C2-Domäne herstellt und eine als JPG-Bilddatei getarnte sekundäre Nutzlast abruft. Diese Datei liefert schließlich die vollständige RokRAT-Malware.
Cloudbasierte Kommando- und Kontrollsysteme: Unauffälligkeit im legitimen Straßenverkehr
RokRAT verbessert seine Tarnung zusätzlich, indem es Zoho WorkDrive als Teil seiner C2-Infrastruktur missbraucht, eine Methode, die auch bei der Anfang 2026 identifizierten Kampagne „Ruby Jumper“ beobachtet wurde. Durch diesen Ansatz führt die Malware Funktionen wie das Erstellen von Screenshots, die Ausführung von Remote-Befehlen über System-Shells, das Sammeln von Host-Daten und das Umgehen von Sicherheitsvorkehrungen aus.
Strategischer Fokus: Funktionale Stabilität, innovative Umsetzung
Während die Kernfunktionen von RokRAT über alle Einsätze hinweg weitgehend gleich geblieben sind, entwickeln sich die Verbreitungsmethoden und Umgehungstaktiken stetig weiter. Diese strategische Ausrichtung verdeutlicht den bewussten Fokus auf die Verbesserung der Infektionsvektoren und Tarntechniken, anstatt die grundlegende Funktionalität der Malware zu verändern.
