Grupo de hackers da Coreia do Norte lança campanha de phishing com RokRAT

BR Defense Center (By River de Morais e Silva)
phishing

Pesquisadores de cibersegurança identificaram uma nova campanha de phishing atribuída ao grupo ScarCruft, vinculado à Coreia do Norte, com o objetivo de disseminar o malware RokRAT. Codificada como Operação HanKook Phantom, a campanha visa indivíduos associados à National Intelligence Research Association, incluindo acadêmicos e ex-oficiais do governo sul-coreano. Os ataques começam com um e-mail de spear-phishing que contém um anexo ZIP disfarçado de documento PDF, que, ao ser aberto, não só exibe um boletim informativo como também instala o RokRAT no sistema da vítima. Este malware é capaz de coletar informações do sistema, executar comandos arbitrários e capturar telas, além de exfiltrar dados através de serviços de nuvem como Dropbox e Google Cloud. Uma segunda fase da campanha utiliza um arquivo LNK para executar um script PowerShell, que também instala um documento Word falso e um script em lote ofuscado. A análise revela que o ScarCruft continua a empregar táticas de phishing altamente personalizadas, visando setores governamentais e acadêmicos da Coreia do Sul para espionagem e coleta de inteligência.

Fonte: https://thehackernews.com/2025/09/scarcruft-uses-rokrat-malware-in.html

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
01/09/2025 • Risco: ALTO
PHISHING

Grupo de hackers da Coreia do Norte lança campanha de phishing com RokRAT

RESUMO EXECUTIVO
A campanha de phishing do ScarCruft representa uma ameaça significativa para organizações que lidam com informações sensíveis. O uso de técnicas avançadas de engenharia social e malware como RokRAT pode resultar em sérios danos financeiros e de reputação, além de implicações legais relacionadas à proteção de dados.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis perdas financeiras e danos à reputação em caso de vazamento de dados.
Operacional
Roubo de informações sensíveis e espionagem.
Setores vulneráveis
['Governo, pesquisa acadêmica, segurança nacional']

📊 INDICADORES CHAVE

Campanha direcionada a indivíduos da National Intelligence Research Association. Indicador
Uso de serviços de nuvem como Dropbox e Google Cloud para exfiltração. Contexto BR
RokRAT é um malware conhecido associado ao APT37. Urgência

⚡ AÇÕES IMEDIATAS

1 Revisar e-mails recebidos de fontes desconhecidas e verificar anexos.
2 Implementar filtros de segurança para e-mails e treinar funcionários sobre reconhecimento de phishing.
3 Monitorar atividades suspeitas em sistemas e redes, especialmente relacionadas a exfiltração de dados.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem estar cientes de que ataques de phishing sofisticados podem comprometer informações sensíveis e a segurança nacional.

⚖️ COMPLIANCE

Implicações legais e de compliance com a LGPD em caso de vazamento de dados.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).