Hackers da Coreia do Norte, atribuídos ao grupo APT37, estão utilizando uma nova campanha maliciosa chamada Ruby Jumper, que visa transferir dados entre sistemas conectados à internet e sistemas isolados (air-gapped). Essa técnica é comum em setores críticos, como infraestrutura e militar, onde a transferência de dados é feita por meio de dispositivos de armazenamento removíveis. A campanha foi analisada pela Zscaler, que identificou um conjunto de cinco ferramentas maliciosas: RESTLEAF, SNAKEDROPPER, THUMBSBD, VIRUSTASK e FOOTWINE.
O ataque começa quando a vítima abre um arquivo de atalho malicioso do Windows, que executa um script PowerShell para extrair cargas úteis. O primeiro componente malicioso, RESTLEAF, se comunica com a infraestrutura de comando e controle (C2) do APT37. O SNAKEDROPPER, um carregador baseado em Ruby, é instalado disfarçado de um utilitário legítimo. O THUMBSBD coleta informações do sistema e prepara dados para exfiltração, enquanto o VIRUSTASK se espalha para novas máquinas isoladas. A campanha também inclui FOOTWINE, um spyware disfarçado de arquivo APK, que permite diversas funções de espionagem. A Zscaler atribui com alta confiança essa campanha ao APT37, com base em indicadores técnicos e no perfil dos alvos.
Fonte: https://www.bleepingcomputer.com/news/security/apt37-hackers-use-new-malware-to-breach-air-gapped-networks/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
27/02/2026 • Risco: ALTO
MALWARE
Hackers norte-coreanos usam novas ferramentas para espionagem
RESUMO EXECUTIVO
A campanha Ruby Jumper, atribuída ao grupo APT37, representa uma ameaça significativa para organizações que operam em setores críticos no Brasil. O uso de técnicas sofisticadas para infiltração e exfiltração de dados exige atenção imediata dos líderes de segurança da informação.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras devido à exfiltração de dados e interrupções operacionais.
Operacional
Coleta de informações sensíveis e exfiltração de dados de sistemas isolados.
Setores vulneráveis
['Infraestrutura crítica, militar, pesquisa']
📊 INDICADORES CHAVE
Cinco ferramentas maliciosas identificadas na campanha.
Indicador
O malware transforma dispositivos de armazenamento removíveis em relés C2 bidirecionais.
Contexto BR
O módulo VIRUSTASK só ativa a infecção se o dispositivo tiver pelo menos 2GB de espaço livre.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar logs de acesso e atividades suspeitas em sistemas críticos.
2
Implementar controles de segurança em dispositivos de armazenamento removíveis e monitorar a transferência de dados.
3
Monitorar continuamente a atividade de rede e a integridade dos sistemas isolados.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a possibilidade de infiltrações em sistemas críticos, especialmente em um cenário onde a segurança da informação é vital para a continuidade dos negócios.
⚖️ COMPLIANCE
Implicações legais e de conformidade com a LGPD em relação à proteção de dados.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
