O grupo de ameaças persistentes avançadas (APT) patrocinado pelo Estado norte-coreano, conhecido como ScarCruft, foi vinculado a uma sofisticada campanha de malware direcionada a usuários sul-coreanos.
Disfarçada como um aviso de atualização de código postal, essa cadeia de infecção foi descoberta pelo Centro de Análise e Inteligência de Ameaças (TALON) da S2W, revelando um subgrupo apelidado de ChinopuNK que distribui o malware Chinotto.
Identificado pela primeira vez em 2016, o ScarCruft historicamente se concentrou na espionagem contra desertores, jornalistas e entidades governamentais norte-coreanas na Coreia do Sul, mas seu alcance se expandiu para Japão, Vietnã, Rússia, Nepal e nações do Oriente Médio.
Esta última campanha marca uma evolução notável, incorporando implantação de ransomware e backdoors baseados em Rust, que se desviam das táticas tradicionais centradas na espionagem do grupo e sugerem um pivô potencial para interrupções ou extorsão com motivação financeira.
Ameaça emergente do APT norte-coreano
O ataque começa com um arquivo LNK malicioso oculto em um arquivo RAR, que, após a execução, implanta um carregador AutoIt.
Esse carregador recupera e executa uma cascata de cargas úteis de um servidor externo de comando e controle (C2), incluindo ladrões de informações, ransomware e backdoors.
Análise da TALON Identificado nove amostras distintas de malware, mostrando a adaptabilidade do ScarCruft em alavancar diversas linguagens de programação e plataformas de mensagens em tempo real para comunicações C2.
Entre eles, o NubSpy se destaca como um backdoor que explora a infraestrutura de mensagens de publicação-assinatura do PubNub para operações C2 furtivas, permitindo a execução de comandos bidirecionais e exfiltração de dados sem dependências tradicionais do servidor.
Essa dependência de serviços como PubNub e Ably, observada desde pelo menos 2017, reforça a atribuição ao ScarCruft, pois se alinha com seu padrão de abuso de mensagens legítimas baseadas em nuvem para evasão de mecanismos de detecção baseados em rede.
Inovações Técnicas
Aprofundando-se no arsenal de malware, o LightPeek surge como um ladrão de informações baseado no PowerShell projetado para reconhecimento, coleta de metadados do sistema, credenciais do navegador e listagens de arquivos para exfiltração direcionada.
Complementando isso está o TxPyLoader, um carregador com script Python que emprega o Transacted Oving, uma técnica de injeção de processo que sequestra processos legítimos usando operações NTFS transacionais para evitar a análise forense de memória e as ferramentas de detecção e resposta de endpoint (EDR).
O FadeStealer, uma ferramenta previamente documentada associada ao ScarCruft, facilita a exfiltração de dados por meio de canais criptografados, enquanto o recém-observado VCD Ransomware criptografa os arquivos da vítima com um arquivo . VCD, empregando algoritmos criptográficos robustos provavelmente derivados de AES ou cifras simétricas semelhantes para tornar os dados inacessíveis sem uma chave de descriptografia.
Talvez o mais intrigante seja o CHILLYCHINO, um backdoor baseado em Rust portado de uma variante anterior do PowerShell, que aproveita os recursos de segurança e desempenho de memória do Rust para aumentar a resiliência contra engenharia reversa e análise de tempo de execução.
A sofisticação técnica desta campanha ressalta o subgrupo interno do ScarCruft, com o ChinopuNK rotulado internamente pela S2W como um “agente de ameaças norte-coreano parcialmente não identificado”, demonstrando estruturas de malware distintas que se baseiam em bases de código compartilhadas.
A adoção do grupo de linguagens modernas como Rust e Go, como visto em ferramentas anteriores, como o AblyGo, indica uma ênfase estratégica na compatibilidade entre plataformas, vulnerabilidades reduzidas e ofuscação aprimorada para impedir análises estáticas e dinâmicas.
A inclusão do ransomware representa uma mudança de paradigma, potencialmente combinando espionagem com recursos destrutivos para amplificar o impacto ou gerar receita por meio de extorsão, divergindo do foco histórico de reconhecimento não disruptivo da ScarCruft.
A atribuição é reforçada por sobreposições de código, como rotinas de criptografia compartilhadas e padrões C2, vinculando essas amostras a distribuições anteriores do Chinotto.
O uso do PubNub para o C2 do NubSpy exemplifica a exploração persistente do ScarCruft de plataformas em tempo real, permitindo a retransmissão de comandos de baixa latência enquanto combina tráfego malicioso com chamadas de API legítimas.
Isso não apenas complica a caça a ameaças, mas também destaca a maturidade operacional do grupo na adaptação de bases de código aberto ou disponíveis publicamente em ameaças sob medida.
À medida que as defesas cibernéticas evoluem, a ScarCruft’ As inovações no desenvolvimento de malware, abrangendo carregadores AutoIt a backdoors Rust, sinalizam uma corrida armamentista contínua, instando as organizações a reforçar o monitoramento de serviços de mensagens em nuvem e implementar análises comportamentais avançadas para detectar essas ameaças polimórficas.
Embora o relatório técnico completo detalhe outros indicadores de estratégias de comprometimento e mitigação, esta campanha serve como um lembrete gritante das linhas tênues entre espionagem patrocinada pelo Estado e crimes cibernéticos, com implicações para as posturas globais de segurança cibernética.
The Ultimate SOC-as-a-Service Pricing Guide for 2025–Baixe de graça