Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Puertas traseras Malware RokRAT

Malware RokRAT

Por Mezo en Puertas traseras, Amenaza persistente avanzada (APT)
Traducir a:

El grupo de ciberdelincuentes norcoreano APT37 (también conocido como ScarCruft) ha sido vinculado a una sofisticada campaña cibernética multifase que utiliza ingeniería social a través de Facebook. Los atacantes inician el contacto enviando solicitudes de amistad, generando confianza gradualmente antes de transformar la interacción en un canal de distribución de malware. Esta manipulación calculada permite, en última instancia, el despliegue del troyano de acceso remoto RokRAT.

Arma predilecta: La evolución de RokRAT

RokRAT sigue siendo el principal malware utilizado por el grupo y ha evolucionado significativamente con el tiempo, adaptándose a plataformas como macOS y Android. Su continuo desarrollo pone de manifiesto la inversión operativa sostenida.

El malware es capaz de ejecutar un amplio espectro de actividades maliciosas, entre las que se incluyen:

  • Recopilación de credenciales y exfiltración de datos confidenciales
  • Captura de pantalla y reconocimiento del sistema
  • Ejecución de comandos y shellcode
  • Manipulación de archivos y directorios

Para ocultar sus operaciones, las variantes anteriores almacenaban los datos robados en formato MP3. Además, RokRAT disfraza sus comunicaciones de comando y control (C2) enrutando los datos a través de plataformas legítimas en la nube como Dropbox, Microsoft OneDrive, pCloud y Yandex Cloud.

La confianza como vector de ataque: la manipulación en las redes sociales

La campaña comienza con la creación de perfiles falsos en Facebook, supuestamente ubicados en Pyongyang y Pyongsong. Estas cuentas se utilizan para identificar y evaluar a posibles víctimas. Una vez establecida la conexión, las conversaciones se trasladan a Messenger, donde se introducen temas cuidadosamente seleccionados para generar confianza y fomentar la interacción.

Una táctica crucial empleada es el engaño, que consiste en convencer a las víctimas de instalar un visor de PDF especializado bajo la falsa premisa de que es necesario para acceder a documentos militares cifrados. La aplicación proporcionada es una versión modificada de Wondershare PDFelement, con código malicioso integrado. Al ejecutarse, este instalador inicia el ataque otorgando a los atacantes acceso inicial al sistema.

Engaño por capas: Técnicas avanzadas de entrega y evasión

La cadena de ataque demuestra un alto grado de sofisticación mediante la combinación de múltiples estrategias de evasión:

  • Uso de software legítimo infectado con troyanos para eludir la sospecha.
  • Explotación de infraestructura web comprometida pero confiable para operaciones de comando y control (C2).
  • Disfrazar cargas útiles maliciosas como archivos inofensivos, como imágenes JPG.

Cabe destacar que los atacantes aprovecharon un sitio web comprometido, vinculado a la sucursal en Seúl de una agencia inmobiliaria japonesa, para distribuir comandos y cargas útiles. La carga útil de la segunda fase aparece como un archivo de imagen inofensivo, ocultando el despliegue final de RokRAT.

Ejecución en múltiples etapas: del contacto social al compromiso total

La secuencia de ataque se desarrolla en varias etapas coordinadas. Los ciberdelincuentes crearon cuentas de Facebook con los nombres "richardmichael0828" y "johnsonsophia0414" el 10 de noviembre de 2025. Tras establecer contacto, la comunicación se redirige a Telegram, donde las víctimas reciben un archivo ZIP que contiene un visor de PDF malicioso, documentos señuelo e instrucciones de instalación.

La ejecución del instalador comprometido activa un código malicioso cifrado que se conecta a un dominio C2 y recupera una carga útil secundaria disfrazada de archivo de imagen JPG. Este archivo finalmente distribuye el malware RokRAT completo.

Comando y control basados en la nube: integrándose en el tráfico legítimo.

RokRAT mejora aún más su sigilo al abusar de Zoho WorkDrive como parte de su infraestructura C2, un método también observado en la campaña 'Ruby Jumper' identificada a principios de 2026. Mediante este enfoque, el malware realiza funciones como la captura de pantallas, la ejecución remota de comandos a través de shells del sistema, la recopilación de datos del host y la evasión de la seguridad.

Enfoque estratégico: Estabilidad en la función, innovación en la ejecución.

Si bien las capacidades principales de RokRAT se han mantenido prácticamente constantes en todas las operaciones, sus mecanismos de distribución y tácticas de evasión siguen evolucionando. Este enfoque estratégico demuestra una clara intención de mejorar los vectores de infección y las técnicas de sigilo, en lugar de modificar la funcionalidad básica del malware.

Artículos Relacionados

Tendencias

Estafa por correo electrónico que requiere...

Suplantación de identidad (phishing), Correo basura
Mantener la cautela al recibir correos electrónicos inesperados es fundamental para la seguridad en línea. Los ciberdelincuentes suelen disfrazar mensajes maliciosos como comunicaciones legítimas para aprovecharse de la confianza y la urgencia. La estafa del correo electrónico "Se requiere verificación de seguridad" es un claro ejemplo de esta táctica. Estos correos electrónicos no están...

Mas Visto

Cargando...