Apt37

Um grupo de hackers da Coreia do Norte, conhecido como APT37 ou ScarCruft, comprometeu uma plataforma de jogos voltada para a comunidade coreana em Yanbian, na China, utilizando um malware chamado BirdCall. Este ataque, que começou em 2024, afeta tanto sistemas Windows quanto Android. No Windows, o malware permite roubo de dados, execução de comandos e captura de telas, enquanto no Android, ele pode extrair contatos, mensagens, arquivos de mídia e até áudio ambiente. A plataforma SQgame, que oferece jogos temáticos da região, continua hospedando jogos maliciosos, especialmente para dispositivos Android. O foco do ataque parece ser a população coreana na China, incluindo refugiados e desertores, o que levanta preocupações sobre a segurança de dados pessoais e a privacidade desses indivíduos. A ESET, empresa de segurança cibernética que reportou o incidente, observa que o malware está sendo ativamente mantido, com atualizações frequentes, o que indica um esforço contínuo dos atacantes para explorar essa vulnerabilidade.

O grupo de hackers norte-coreano APT37, também conhecido como ScarCruft, desenvolveu uma versão para Android de um backdoor chamado BirdCall, que já era conhecido por suas operações em sistemas Windows. Essa nova variante, que atua como spyware, foi identificada em um ataque à cadeia de suprimentos através de uma plataforma de jogos, especificamente o site sqgame[.]net, que hospeda jogos para Android, iOS e Windows. A pesquisa da ESET revelou que a versão Android do BirdCall foi criada em outubro de 2024 e possui pelo menos sete versões diferentes.

O grupo de hackers norte-coreano APT37, também conhecido como ScarCruft, foi identificado em uma nova campanha de engenharia social que utiliza o Facebook como plataforma de ataque. Os cibercriminosos criaram contas falsas para se conectar com alvos, estabelecendo uma relação de confiança antes de mover a conversa para o Messenger. A estratégia inclui o uso de um software malicioso disfarçado de visualizador de PDF, alegando ser necessário para acessar documentos militares criptografados. O software comprometido é uma versão adulterada do Wondershare PDFelement, que, ao ser executado, ativa um código malicioso que permite o controle remoto do dispositivo da vítima. Além disso, a campanha utiliza uma infraestrutura legítima, mas comprometida, para comandos e controle, aproveitando um site de serviços imobiliários japonês. O malware, chamado RokRAT, é disfarçado como uma imagem JPG e permite que os atacantes capturem informações do sistema e realizem comandos remotamente, enquanto evita a detecção por programas de segurança. Essa abordagem sofisticada e evasiva destaca a evolução das táticas de ataque do APT37, que continua a adaptar suas estratégias de entrega e execução.

Hackers da Coreia do Norte, atribuídos ao grupo APT37, estão utilizando uma nova campanha maliciosa chamada Ruby Jumper, que visa transferir dados entre sistemas conectados à internet e sistemas isolados (air-gapped). Essa técnica é comum em setores críticos, como infraestrutura e militar, onde a transferência de dados é feita por meio de dispositivos de armazenamento removíveis. A campanha foi analisada pela Zscaler, que identificou um conjunto de cinco ferramentas maliciosas: RESTLEAF, SNAKEDROPPER, THUMBSBD, VIRUSTASK e FOOTWINE.