Le groupe de pirates informatiques nord-coréen identifié sous le nom d’ APT37 (alias ScarCruft) a été associé à une nouvelle campagne d’ingénierie sociale en plusieurs étapes dans laquelle les acteurs malveillants ont approché des cibles sur Facebook et les ont ajoutées comme amis sur la plateforme de médias sociaux, transformant l’exercice de construction de confiance en un canal de diffusion pour un cheval de Troie d’accès à distance appelé RokRAT .

« L’auteur de la menace a utilisé deux comptes Facebook géolocalisés à Pyongyang et Pyongsong, en Corée du Nord, pour identifier et sélectionner ses cibles », a indiqué le Centre de sécurité Genians (GSC) dans une analyse technique de la campagne. « Après avoir établi une relation de confiance par le biais de demandes d’amis, il a poursuivi la conversation sur Messenger et a utilisé des sujets spécifiques pour piéger ses victimes, dans le cadre de la phase initiale d’ingénierie sociale de l’attaque. »

L’attaque repose essentiellement sur le recours à une technique appelée « prétexte », selon le GSC. Cette tactique consiste à inciter des utilisateurs non avertis à installer un lecteur PDF dédié, en prétendant que ce logiciel est nécessaire pour ouvrir des documents militaires chiffrés. Le lecteur PDF utilisé dans la chaîne d’infection est une version altérée de Wondershare PDFelement qui, une fois lancée, exécute un code malveillant intégré permettant aux attaquants d’obtenir un point d’entrée dans le système.

Un autre aspect important de cette campagne réside dans l’utilisation d’une infrastructure de commande et de contrôle (C2) légitime mais compromise. Le site web associé à la branche séoulite d’un service japonais d’information immobilière est ainsi détourné pour diffuser des commandes et des charges utiles malveillantes. De plus, la charge utile prend la forme d’une image JPG apparemment inoffensive pour déployer RokRAT.

« Il s’agit d’une stratégie extrêmement trompeuse qui combine la falsification légitime de logiciels, l’abus d’un site web légitime et la dissimulation d’extensions de fichiers », a déclaré le GSC.

Dans la séquence d’attaque détaillée par la société sud-coréenne de cybersécurité, il a été constaté que les acteurs de la menace ont créé deux comptes Facebook — « richardmichael0828 » et « johnsonsophia0414 », tous deux créés le 10 novembre 2025 — et ont livré un fichier ZIP après avoir déplacé la conversation vers Telegram, l’archive contenant la version troyenne de Wondershare PDFelement ainsi que quatre documents PDF et un fichier texte contenant des instructions pour installer le programme afin de visualiser les PDF.

Le shellcode crypté exécuté après le lancement de l’installateur falsifié lui permet d’établir une communication avec le serveur C2 (« japanroom[.]com ») et de télécharger une charge utile de deuxième étape, une image JPG (« 1288247428101.jpg ») qui est ensuite utilisée pour la charge utile finale de RokRAT.

Le logiciel malveillant, quant à lui, utilise Zoho WorkDrive comme C2 – une tactique également décrite en détail par Zscaler ThreatLabz en février 2026 dans le cadre d’une campagne nommée Ruby Jumper – lui permettant de capturer des captures d’écran, d’exécuter des commandes à distance via « cmd.exe », de collecter des informations sur l’hôte, d’effectuer une reconnaissance du système et d’échapper à la détection par des programmes de sécurité comme 360 ​​Total Security de Qihoo, tout en dissimulant le trafic malveillant.

« Sa fonctionnalité principale est restée relativement stable et a été réutilisée à maintes reprises dans de multiples opérations au fil du temps », a déclaré le GSC. « Cela montre que RokRAT s’est moins concentré sur la modification de sa fonctionnalité principale que sur l’évolution de sa chaîne de déploiement, d’exécution et d’évasion. »