كشفت تقارير أمنية أن مجموعة القرصنة الكورية الشمالية المعروفة باسم APT37 أو ScarCruft أطلقت حملة متعددة المراحل تعتمد على الهندسة الاجتماعية عبر منصة فيسبوك. المهاجمون أنشأوا حسابات بأسماء وهمية وحددوا مواقعهم في بيونغ يانغ وبيونغسونغ، ثم بدأوا بإرسال طلبات صداقة إلى أهداف محددة. بعد بناء الثقة الأولية، انتقلوا إلى Messenger لمواصلة المحادثة باستخدام مواضيع جذابة لإغراء الضحايا، قبل أن يطلبوا منهم تثبيت برنامج مزيف لقراءة ملفات PDF مشفرة بزعم أنها وثائق عسكرية.
سلسلة العدوى وتوظيف البنية التحتية الشرعية
البرنامج المزيف كان نسخة معدلة من Wondershare PDFelement، حيث أُضيف إليه شيفرة خبيثة تُنفذ بمجرد تشغيله، مما يمنح المهاجمين موطئ قدم أولي في النظام.
اللافت أن المهاجمين استخدموا بنية تحتية شرعية لكنها مخترقة لإدارة خوادم القيادة والسيطرة (C2)، إذ تم استغلال موقع تابع لخدمة عقارية يابانية في سيول لإرسال أوامر خبيثة. كما جرى استخدام ملف صورة بامتداد JPG كوسيلة لإخفاء الحمولة النهائية، وهي برمجية RokRAT.
قدرات برمجية RokRAT
البرمجية الخبيثة RokRAT ليست جديدة، لكنها أثبتت فعاليتها عبر عدة حملات سابقة. وظيفتها الأساسية لم تتغير كثيرًا، بل تطورت طرق تسليمها وتخفيها. من أبرز قدراتها:
- التقاط صور للشاشة.
- تنفيذ أوامر عن بُعد عبر cmd.exe.
- جمع معلومات النظام وإجراء استطلاع شامل.
- التهرب من برامج الحماية مثل Qihoo 360 Total Security.
- استخدام خدمات شرعية مثل Zoho WorkDrive كقنوات قيادة وسيطرة، ما يجعل اكتشافها أكثر صعوبة.
تفاصيل إضافية حول الحملة
وفقًا لمركز الأمن الكوري الجنوبي Genians Security Center (GSC)، أنشأ المهاجمون حسابين على فيسبوك في نوفمبر 2025 باسم “richardmichael0828″ و”johnsonsophia0414”. بعد الانتقال إلى Telegram، أرسلوا ملفًا مضغوطًا يحتوي على النسخة المعدلة من Wondershare PDFelement، إلى جانب أربعة ملفات PDF وتعليمات لتثبيت البرنامج.
بمجرد تشغيل البرنامج، يتم تنفيذ شيفرة مشفرة تتصل بخادم C2 على نطاق “japanroom[.]com”، ثم تُنزّل حمولة ثانية على شكل صورة “1288247428101.jpg”، والتي تُستخدم لاحقًا لتثبيت RokRAT بشكل كامل.
