ScarCruft 在针对韩国学者的“HanKook Phantom”行动中使用 RokRAT 恶意软件

网络安全研究人员发现了与朝鲜有关的黑客组织ScarCruft（又名 APT37）发起的一项新的网络钓鱼活动，旨在传播一种名为 RokRAT 的恶意软件。

Seqrite Labs 将此次活动命名为“Operation HanKook Phantom”，并表示此次攻击似乎针对与国家情报研究协会有关的个人，包括学术人士、前政府官员和研究人员。

安全研究员 Dixit Panchal在上周发布的一份报告中表示： “攻击者可能旨在窃取敏感信息、建立持久性或进行间谍活动。”

攻击链的起点是一封鱼叉式网络钓鱼电子邮件，其中包含“国家情报研究协会通讯 – 第 52 期”的诱饵，该通讯由韩国一个专注于国家情报、劳资关系、安全和能源问题的研究小组发布，是一份定期通讯。

该数字邮件包含一个 ZIP 存档附件，其中包含伪装成 PDF 文档的 Windows 快捷方式 (LNK)，打开后，会将新闻稿作为诱饵启动，同时将 RokRAT 投放到受感染的主机上。

RokRAT是一款与 APT37 相关的已知恶意软件，该工具能够收集系统信息、执行任意命令、枚举文件系统、捕获屏幕截图以及下载其他有效载荷。收集的数据通过 Dropbox、Google Cloud、pCloud 和 Yandex Cloud 进行泄露。

Seqrite 表示，它检测到了第二起攻击活动，其中 LNK 文件充当了 PowerShell 脚本的通道，该脚本除了投放诱饵 Microsoft Word 文档外，还运行一个经过混淆的 Windows 批处理脚本，负责部署投放器。然后，该二进制文件运行下一阶段的有效载荷，从受感染主机窃取敏感数据，同时将网络流量隐藏为 Chrome 文件上传。

此次使用的诱惑文件是朝鲜劳动党宣传信息部副部长金与正于 7 月 28 日发表的一份声明，该声明拒绝了首尔方面的和解努力。

Panchal 表示：“对此次活动的分析凸显了 APT37（ScarCruft/InkySquid）如何继续采用高度定制的鱼叉式网络钓鱼攻击，利用恶意 LNK 加载器、无文件 PowerShell 执行和隐蔽的渗透机制。”

“攻击者专门针对韩国政府部门、研究机构和学者，目的是收集情报和进行长期间谍活动。”

此事发生之际，网络安全公司奇安信披露了臭名昭著的拉撒路集团（又名奇安信）发起的攻击。该集团使用类似ClickFix的策略，诱骗求职者下载所谓的 NVIDIA 相关更新，以解决视频评估中的摄像头或麦克风问题。Gen Digital曾于2025 年 7 月下旬披露了该活动的细节。

ClickFix 攻击会导致 Visual Basic 脚本的执行，进而导致JavaScript 窃取程序BeaverTail的部署，该程序还可以传播名为 InvisibleFerret 的基于 Python 的后门。此外，这些攻击还为具有命令执行和文件读写功能的后门铺平了道路。

此次披露是在美国财政部外国资产控制办公室（OFAC）对两名个人和两家实体实施新制裁之后发布的，原因是他们参与了朝鲜远程信息技术（IT）工人计划，为该政权的大规模杀伤性武器和弹道导弹计划获取非法收入。

千里马集团在上周发布的一份报告中详细介绍了其对与Moonstone Sleet有关联的 IT 工作者集群的调查，该集群被追踪为 BABYLONGROUP，与一款名为DefiTankLand的区块链边玩边赚 (P2E) 游戏有关。

据评估，DefiTankLand 的所谓 CTO Logan King 实际上是一名朝鲜 IT 工作者，这一假设得到了以下事实的支持：King 的 GitHub 帐户已被一名名为“Ivan Kovch”的乌克兰自由职业者和区块链开发人员用作参考。

千里马集团表示：“许多成员之前曾代表一家名为 ICICB 的可疑公司（我们认为该公司是幌子）从事大型加密货币项目，该集团的一名非朝鲜成员运营着中国网络犯罪市场 FreeCity，而且 DeTankZone 与一名曾在坦桑尼亚境外活动的资深 IT 工作者之间存在有趣的联系。 ”

虽然 DefiTankLand 首席执行官 Nabil Amrani 曾与 Logan 合作过其他区块链项目，但我们认为他并未参与任何开发工作。这一切意味着，Moonstone Sleet 的 DeTankZone 背后的“合法”游戏实际上是由朝鲜 IT 人员开发的，后来被朝鲜 APT 组织窃取并利用。