Grupo norte-coreano ScarCruft utiliza novas ferramentas de malware
O grupo de ameaças cibernéticas norte-coreano conhecido como ScarCruft foi associado a uma nova campanha de malware chamada Ruby Jumper, que utiliza ferramentas sofisticadas para vigilância e controle de sistemas. A campanha, descoberta pela Zscaler ThreatLabz em dezembro de 2025, envolve o uso de um backdoor que se comunica via Zoho WorkDrive, além de implantes que utilizam mídias removíveis para transmitir comandos e invadir redes isoladas.
Quando um usuário abre um arquivo LNK malicioso, um comando PowerShell é executado, permitindo que o malware extraia múltiplos payloads embutidos. Entre os payloads estão o RESTLEAF, que utiliza Zoho WorkDrive para comunicação de comando e controle, e o THUMBSBD, que se disfarça como um arquivo Ruby e pode coletar informações do sistema, exfiltrar arquivos e executar comandos arbitrários. O THUMBSBD também distribui o FOOTWINE, que possui capacidades de keylogging e captura de áudio e vídeo.