Hackerii nord-coreeni evoluează: metoda lor sofisticată pentru a penetra sisteme izolate și containeriza activitățile de spionaj
Gruparea APT37, cunoscută și sub denumirile ScarCruft, Ricochet Chollima sau InkySquid, a lansat recent o campanie cibernetică extrem de bine orchestrată, menită să pătrundă în cele mai bine protejate rețele ale unor organizații strategice. Denumită Ruby Jumper, această operațiune reprezintă o evoluție semnificativă în arsenalul de instrumente folosit de spionii nord-coreeni, fiind dedicată exclusiv atacurilor asupra sistemelor air-gapped — acele rețele considerate impenetrabile, izolate fizic de internet.
Inovație tehnologică în spionaj: un lanț de atacuri în multiple etape
Cea mai izbitoare caracteristică a campaniei Ruby Jumper este utilizarea unor malware complet noi, personalizate, care permit infiltrarea sistemelor fără conexiune la internet. Până acum, astfel de rețele erau considerate de neoprit pentru atacuri, însă cercetătorii din domeniul securității cibernetice au descoperit cum hackerii nord-coreeni au reușit să dezvolte un set de cinci componente malware necunoscute anterior. Acestea sunt menite să lucreze în tandem, într-un lanț de infectare complex, capabil să traverseze chiar și cele mai sigure limite fizice ale rețelelor moderne.
Campania, identificată în decembrie 2025, începe cu utilizarea unui fișier scurtătură Windows, care pare, aparent, inofensiv, dar dacă este deschis de victimă, declanșează o serie de activități în fundal. În spatele acestei simple piste, se află o strategie elaborată care duce la instalarea de malware în etape, de la descărcarea și execuția silentioasă a componentelor, până la sporirea capacităților de supraveghere, incluzând keylogging, captură audio și video, precum și control total asupra sistemului infectat.
Dincolo de limitele fizice: un canal de comunicare secret și bidirecțional
Unul dintre cele mai avansate și inovatoare instrumente ale atacatorilor este THUMBSBD, un malware care transformă dispozitivele de stocare externe în canale de comunicare ascunse. La conectarea unui USB infectat la un computer conectat la internet, malware-ul copiază fișiere de comandă într-un director invizibil și le așteaptă acolo. Ulterior, când același dispozitiv este conectat unui sistem izolat, malware-ul citește și execută aceste comenzi, totul fără ca vreun indicator vizibil să atragă atenția.
Această metodă inovatoare de comunicare bidirecțională, invizibilă pentru utilizator, face ca infrastructura de tip air-gapped să devină vulnerabilă, chiar și în cele mai sigure medii. În același timp, malware-ul VIRUSTASK facilitează răspândirea malware-ului de pe suporturi mobile, „înlocuind” fișierele legitime cu versiuni compromise, aruncând o umbră de suspiciune asupra fișierelor aparent inofensive de pe USB-uri.
Un arsenal complet pentru supraveghere totală
După ce sistemele sunt infiltrate, finalul acestui lanț de atacuri include instrumente precum FOOTWINE, capabil să înregistreze tastatura, să capteze audio și video, și să ofere acces complet la shell-ul sistemului, totul printr-un canal criptat, bazat pe protocoale personalizate de schimb de chei. În plus, malware-ul BLUELIGHT, cunoscut anterior ca fiind utilizat de același grup, contribuie la reducerea timpii de reacție și la menținerea conexiunii nesupervizate.
Analiza specialiștilor de la Zscaler relevă că această tehnică avansată de infiltrare se diferențiază prin dotarea cu un set de unelte sofisticate, adaptate pentru a exploata orice oportunitate de penetrare, inclusiv acțiuni fizice, precum conectarea și deconectarea dispozitivelor de stocare.
Ce urmează pentru securitatea organizațiilor
Defalcarea acestei campanii relevă capacitatea hackerilor nord-coreeni de a contura o strategie de long-term, care combină tehnici de ultimă generație și o cunoaștere aprofundată a infrastructurii cibernetice a țintelor. Pentru organizațiile care gestionează medii izolate sau sistemelor cu acces limitat, înțelegerea și monitorizarea acestor noi metode de atac devin imperative.
Specialiștii în domeniul securității cibernetice recomandă o supraveghere riguroasă a fișierelor de sistem, a sarcinilor programate și a trecerilor între dispozitivele de stocare. În plus, o evaluare atentă a traficului de date în cloud și verificarea fișierelor de tip shortcut trebuie să devină o practică cotidiană. Unele dintre cele mai eficiente măsuri vizează şi controlul strict asupra accesului la dispozitivele externe, pentru a preveni orice posibilă cale de comunicație ascunsă pentru malware.
Pe măsură ce tehnologia evoluează, sectorul de securitate cibernetică trebuie să se adapteze rapid. Campania Ruby Jumper demonstrează că chiar și cele mai izolate și protejate rețele sunt vulnerabile dacă atacatorii pot folosi ingeniozitate și resurse tehnice avansate. Rămâne de văzut cum vor răspunde organizațiile la aceste provocări, într-un peisaj digital în continuă schimbare, în care amenințările sofisticate devin parte integrantă a bătăliei pentru securitatea națională și corporativă.
