L’article publié par GBHackers Security rapporte une nouvelle campagne de cyberattaque menée par le groupe nord-coréen APT37, également connu sous le nom de ScarCruft.

Operation: ToyBox Story cible des activistes s’intéressant aux questions nord-coréennes. Les hackers utilisent des campagnes de spear phishing pour atteindre leurs victimes, en se servant de fichiers LNK malveillants déguisés pour infiltrer les systèmes.

Pour échapper à la détection, APT37 exploite des services cloud légitimes, principalement Dropbox, comme infrastructure de commande et contrôle (C2). Cette méthode permet aux attaquants de dissimuler leurs activités malveillantes parmi le trafic légitime.

L’article met en lumière l’ingéniosité des techniques utilisées par APT37 pour mener à bien leurs attaques tout en évitant les systèmes de détection traditionnels. Le but principal de l’article est d’informer et d’alerter sur cette menace persistante et sophistiquée.

🕵️ Contexte

Le groupe de cyberespionnage nord-coréen APT37, également connu sous le nom de ScarCruft, a lancé une nouvelle campagne de spear phishing ciblant les activistes traitant des questions nord-coréennes.

🔍 Campagne nommée “Operation: ToyBox Story” par Genians Security Center (GSC).

🎯 Objectifs

  • Collecte d’informations sur les activistes critiques du régime nord-coréen.
  • Espionnage lié à la participation militaire nord-coréenne aux côtés de la Russie.

⚔️ Tactiques utilisées

☁️ Infrastructure cloud légitime détournée

  • Utilisation de Dropbox (et occasionnellement pCloud et Yandex) comme serveurs de commande et contrôle (C2).
  • Authentification via des tokens Dropbox liés à des comptes Yandex russes.

📎 Fichiers LNK piégés

  • Pièces jointes de type .LNK déguisées en documents légitimes.
  • Hébergées dans des archives ZIP sur Dropbox.
  • Thèmes d’appât : déploiement de troupes nord-coréennes en Russie, conférence fictive de sécurité nationale.

🔧 Infection en plusieurs étapes

  1. Extraction de l’archive ZIP
  2. Exécution du fichier LNK ➜ commande PowerShell invisible
  3. Création de fichiers temporaires dans %Temp%
  4. Affichage d’un faux document pour masquer l’activité malveillante
  5. Déploiement du malware RoKRAT

🧬 Détails du malware : RoKRAT

  • Techniques fileless : pas d’écriture persistante sur disque.

  • Collecte de données système : version OS, nom du device, BIOS.

  • Capture d’écran en temps réel, enregistrée en fichiers temporaires hexadécimaux.

  • Exfiltration chiffrée via :

    • Obfuscation XOR
    • Chiffrement AES-CBC-128
    • Clés chiffrées avec RSA

  • Communication vers les C2 masquée derrière des services légitimes : Dropbox, pCloud, Yandex.

🧰 Autres caractéristiques observées

  • Exécution de code en mémoire, difficilement détectable sans EDR.
  • Infrastructure masquée via des VPN commerciaux (ex : NordVPN, AstrillVPN).
  • Des adresses email liées à l’attaque imitent des profils LinkedIn d’experts.

🛡️ Recommandations

  • Ne jamais ouvrir de fichiers .LNK inconnus, même s’ils semblent issus de sources crédibles.
  • Surveiller les accès à des services cloud inhabituels depuis les endpoints.
  • Mettre en place un EDR avancé capable de détecter :
    • Comportements “fileless”
    • Appels API suspects vers des services cloud
    • Tactiques MITRE ATT&CK comme T1566.002 (Spearphishing via LNK), T1059.001 (PowerShell), T1027 (Obfuscation)

📚 Références

  • Genians Security Center (GSC)
  • Analyse Capa et MITRE ATT&CK
  • Campagne antérieure : distribution de documents HWP par APT37 (février 2025)

🔗 Source originale : https://gbhackers.com/apt37-hackers-use-weaponized-lnk-files-and-dropbox/

🖴 Archive : https://web.archive.org/web/20250513151653/https://gbhackers.com/apt37-hackers-use-weaponized-lnk-files-and-dropbox/