"스카크러프트 악성코드(Scarcruft ROKRAT): 새로운 유포 방식의 출현" published by S2W. #RokRAT, #ScarCruft, #DPRK, #CTI https://s2w.inc/ko/resource/detail/1011
February 4, 2026 at 1:30 PM
"스카크러프트 악성코드(Scarcruft ROKRAT): 새로운 유포 방식의 출현" published by S2W. #RokRAT, #ScarCruft, #DPRK, #CTI https://s2w.inc/ko/resource/detail/1011
オペレーション・アルテミス:北朝鮮のScarCruftがHWPファイルを乗っ取り、RoKRATを展開
「オペレーション・アルテミス」と呼ばれる大規模マルウェア・キャンペーンの一環として、北朝鮮のハッキンググループAPT37(別名ScarCruft)は、韓国のワープロソフトHWPとDLLサイドローディングを悪用した高度な攻撃手法を用いた。この作戦は韓国の専門職を標的としており、主に政治、メディア、国際関係分野の従事者が狙われた。初期侵入は、インタビュー依頼やイベント招待を装ったフィッシングメールによって達成された。…
「オペレーション・アルテミス」と呼ばれる大規模マルウェア・キャンペーンの一環として、北朝鮮のハッキンググループAPT37(別名ScarCruft)は、韓国のワープロソフトHWPとDLLサイドローディングを悪用した高度な攻撃手法を用いた。この作戦は韓国の専門職を標的としており、主に政治、メディア、国際関係分野の従事者が狙われた。初期侵入は、インタビュー依頼やイベント招待を装ったフィッシングメールによって達成された。…
オペレーション・アルテミス:北朝鮮のScarCruftがHWPファイルを乗っ取り、RoKRATを展開
「オペレーション・アルテミス」と呼ばれる大規模マルウェア・キャンペーンの一環として、北朝鮮のハッキンググループAPT37(別名ScarCruft)は、韓国のワープロソフトHWPとDLLサイドローディングを悪用した高度な攻撃手法を用いた。この作戦は韓国の専門職を標的としており、主に政治、メディア、国際関係分野の従事者が狙われた。初期侵入は、インタビュー依頼やイベント招待を装ったフィッシングメールによって達成された。 韓国のセキュリティ企業Geniansによると、攻撃者はテレビ局の記者や学者になりすまし、アンケートや正式な招待状を装ったHWP文書を被害者に送付した。これらのファイルにはOLEオブジェクトが埋め込まれており、多段階の実行チェーンを起動して、最終的に正規プロセスのコンテキスト内でDLL置換により悪意あるライブラリを読み込ませた。この手法により、攻撃者はシグネチャベースの防御を回避し、解析を大幅に困難にした。 Geniansのレポートは、ステガノグラフィの使用に特に重点を置いており、これまで確認されていない肖像写真を含む画像ファイル内に悪意あるデータを隠蔽することで、さらなる秘匿性の層を提供していた。調査担当者はまた、以前のキャンペーンで使用された攻撃スクリプトの再利用も特定しており、Program Database(PDB)のデバッグ文字列における同一パスに至るまで一致していたことから、同一の脅威アクターによる組織的な活動であることが示唆された。 version.dllなどの悪意あるモジュールはSysinternalsユーティリティを介して実行され、標準的な管理ツールを装ってペイロードを読み込ませることが可能だった。このアプローチは、疑わしい実行ファイルに対する静的チェックを効果的に回避した。読み込み後、ライブラリは複数のキーによるXOR演算(実行を高速化するSSEベースのルーチンを含む)を用いて段階的にペイロードを復号し、実行速度を高めるとともにリバースエンジニアリングへの耐性を強化した。 このキャンペーンの最終目的は、APT37の武器庫としてよく知られるRoKRATファミリーのリモートアクセスツールを展開し、起動させることだった。このツールにより、コマンド&コントロール(C2)サーバーとの秘匿通信、データの持ち出し、侵害システム上でのリモートコマンド実行が可能となる。 通信チャネルとして商用クラウドプラットフォームが使用された。こうしたサービスを悪用することで、悪意あるトラフィックを正規のものに見せかけられるだけでなく、ネットワークレベルでの遮断もより困難になる。解析の結果、攻撃者が同一の識別子を用いて複数のクラウドサービスにわたりアカウントを事前登録していたことが判明し、インフラの戦略的一貫性が浮き彫りになった。 レポートは、APT37が規律をもって活動し、回避技術の洗練を継続している点を強調している。これらの手法は単に検知を逃れるためだけでなく、詳細な解析やフォレンジック調査にも耐え得るよう設計されている。その結果、組織には防御戦略の見直しが求められており、特に振る舞い分析とリアルタイムの活動監視が可能なEDRソリューションの採用が推奨される。 この種の攻撃を検知するには、孤立した事象ではなく、文書の実行からクラウド基盤への外向き通信に至る攻撃チェーン全体を相関できるツールが必要である。こうした包括的な可視性があって初めて、潜伏した活動を適時に特定し、感染を封じ込め、データ流出を防止できる。 翻訳元:
blackhatnews.tokyo
December 30, 2025 at 3:27 AM
オペレーション・アルテミス:北朝鮮のScarCruftがHWPファイルを乗っ取り、RoKRATを展開
「オペレーション・アルテミス」と呼ばれる大規模マルウェア・キャンペーンの一環として、北朝鮮のハッキンググループAPT37(別名ScarCruft)は、韓国のワープロソフトHWPとDLLサイドローディングを悪用した高度な攻撃手法を用いた。この作戦は韓国の専門職を標的としており、主に政治、メディア、国際関係分野の従事者が狙われた。初期侵入は、インタビュー依頼やイベント招待を装ったフィッシングメールによって達成された。…
「オペレーション・アルテミス」と呼ばれる大規模マルウェア・キャンペーンの一環として、北朝鮮のハッキンググループAPT37(別名ScarCruft)は、韓国のワープロソフトHWPとDLLサイドローディングを悪用した高度な攻撃手法を用いた。この作戦は韓国の専門職を標的としており、主に政治、メディア、国際関係分野の従事者が狙われた。初期侵入は、インタビュー依頼やイベント招待を装ったフィッシングメールによって達成された。…
"Malops Challenge 8: Reversing APT 37’s RokRaT Loader" published by callyso0414. #APT37, #RokRAT, #DPRK, #CTI https://medium.com/@callyso0414/malops-challenge-9-reversing-apt-37s-rokrat-loader-7f7ad49e4662
November 17, 2025 at 1:30 PM
"Malops Challenge 8: Reversing APT 37’s RokRaT Loader" published by callyso0414. #APT37, #RokRAT, #DPRK, #CTI https://medium.com/@callyso0414/malops-challenge-9-reversing-apt-37s-rokrat-loader-7f7ad49e4662
APT29 takedowns, RokRAT phishing, & AI-powered malvertising lead this week’s Cyber Watch.
Also: Silver Fox, Tycoon kit, Cloudflare’s record DDoS, APT28 & more.
Each mapped to MITRE ATT&CK with IoCs and defenses teams can put into action today. 👉 https://bit.ly/4cIBH0j #ThreatIntel #CTI #SOC
Also: Silver Fox, Tycoon kit, Cloudflare’s record DDoS, APT28 & more.
Each mapped to MITRE ATT&CK with IoCs and defenses teams can put into action today. 👉 https://bit.ly/4cIBH0j #ThreatIntel #CTI #SOC
September 10, 2025 at 4:05 PM
APT29 takedowns, RokRAT phishing, & AI-powered malvertising lead this week’s Cyber Watch.
Also: Silver Fox, Tycoon kit, Cloudflare’s record DDoS, APT28 & more.
Each mapped to MITRE ATT&CK with IoCs and defenses teams can put into action today. 👉 https://bit.ly/4cIBH0j #ThreatIntel #CTI #SOC
Also: Silver Fox, Tycoon kit, Cloudflare’s record DDoS, APT28 & more.
Each mapped to MITRE ATT&CK with IoCs and defenses teams can put into action today. 👉 https://bit.ly/4cIBH0j #ThreatIntel #CTI #SOC
North Korea’s ScarCruft Targets Academics With RokRAT Malware
A new report reveals North Korea-linked ScarCruft is using RokRAT malware to target academics in a phishing campaign.…
#hackernews #news
A new report reveals North Korea-linked ScarCruft is using RokRAT malware to target academics in a phishing campaign.…
#hackernews #news
North Korea’s ScarCruft Targets Academics With RokRAT Malware
A new report reveals North Korea-linked ScarCruft is using RokRAT malware to target academics in a phishing campaign.…
hackread.com
September 2, 2025 at 7:39 PM
North Korea’s ScarCruft Targets Academics With RokRAT Malware
A new report reveals North Korea-linked ScarCruft is using RokRAT malware to target academics in a phishing campaign.…
#hackernews #news
A new report reveals North Korea-linked ScarCruft is using RokRAT malware to target academics in a phishing campaign.…
#hackernews #news
North Korea’s ScarCruft Targets Academics With RokRAT Malware hackread.com/north-korea-...
North Korea’s ScarCruft Targets Academics With RokRAT Malware
Follow us on Bluesky, Twitter (X), Mastodon and Facebook at @Hackread
hackread.com
September 2, 2025 at 1:12 PM
North Korea’s ScarCruft Targets Academics With RokRAT Malware hackread.com/north-korea-...
North Korea’s APT37 deploys RokRAT in new phishing campaign against academics
ScarCruft (APT37) launches Operation HanKook Phantom, a phishing campaign using RokRAT to target academics, ex-officials, and researchers. Cybersecurity firm Seqrite Labs uncovered a phishing campaign,…
#hackernews #news
ScarCruft (APT37) launches Operation HanKook Phantom, a phishing campaign using RokRAT to target academics, ex-officials, and researchers. Cybersecurity firm Seqrite Labs uncovered a phishing campaign,…
#hackernews #news
North Korea’s APT37 deploys RokRAT in new phishing campaign against academics
ScarCruft (APT37) launches Operation HanKook Phantom, a phishing campaign using RokRAT to target academics, ex-officials, and researchers. Cybersecurity firm Seqrite Labs uncovered a phishing campaign, tracked as dubbed Operation HanKook Phantom, by the North Korea-linked group APT37 (aka Ricochet Chollima, ScarCruft, Reaper, and Group123). Threat actors are using a fake “National Intelligence Research Society Newsletter […]
securityaffairs.com
September 2, 2025 at 12:01 PM
North Korea’s APT37 deploys RokRAT in new phishing campaign against academics
ScarCruft (APT37) launches Operation HanKook Phantom, a phishing campaign using RokRAT to target academics, ex-officials, and researchers. Cybersecurity firm Seqrite Labs uncovered a phishing campaign,…
#hackernews #news
ScarCruft (APT37) launches Operation HanKook Phantom, a phishing campaign using RokRAT to target academics, ex-officials, and researchers. Cybersecurity firm Seqrite Labs uncovered a phishing campaign,…
#hackernews #news
📌 North Korean APT37 Targets Academics with RokRAT Malware in Phishing Campaign https://www.cyberhub.blog/article/12658-north-korean-apt37-targets-academics-with-rokrat-malware-in-phishing-campaign
North Korean APT37 Targets Academics with RokRAT Malware in Phishing Campaign
The North Korean hacking group ScarCruft, also known as APT37, has been identified as the perpetrator behind a phishing campaign targeting academics. The campaign deploys the RokRAT malware to compromise systems and gain unauthorized access. While specific technical details of the attack are not disclosed in the source, the use of RokRAT suggests that the attackers aim to exfiltrate sensitive information, potentially including research data or intellectual property. APT37 is known for its sophisticated tactics and has previously targeted government, military, and private sector entities. The group's involvement indicates a well-planned operation with potentially significant implications. The choice of academics as targets highlights the value of intellectual property and research data in the cyber espionage landscape. The use of phishing as the initial attack vector underscores the importance of human factors in cybersecurity. Despite advances in technical defenses, phishing remains a highly effective method for gaining initial access to targeted systems. This campaign serves as a reminder for organizations, particularly in the academic sector, to bolster their phishing defenses and endpoint protection measures. The deployment of RokRAT, a presumed Remote Access Trojan, allows attackers to maintain persistent access to compromised systems. This can lead to further exploitation, including data exfiltration, lateral movement within networks, and the deployment of additional malware. The potential impact on the cybersecurity landscape is significant, as successful attacks could result in the loss of sensitive research data and intellectual property. For cybersecurity professionals, this campaign highlights the need for continuous monitoring and threat intelligence sharing. It is crucial to stay updated on the tactics, techniques, and procedures (TTPs) used by APT groups like ScarCruft to effectively defend against such threats. Additionally, organizations should prioritize security awareness training to educate employees about the risks of phishing and how to recognize and report suspicious emails. In conclusion, the targeting of academics by APT37 using RokRAT malware in a phishing campaign underscores the evolving threat landscape and the importance of robust cybersecurity measures. Organizations must remain vigilant and proactive in their defense strategies to mitigate the risks posed by advanced persistent threats.
www.cyberhub.blog
September 2, 2025 at 10:40 AM
📌 North Korean APT37 Targets Academics with RokRAT Malware in Phishing Campaign https://www.cyberhub.blog/article/12658-north-korean-apt37-targets-academics-with-rokrat-malware-in-phishing-campaign
ScarCruft Uses RokRAT Malware in Operation HanKook Phantom Targeting South Korean Academics
Cybersecurity researchers have discovered a new phishing campaign undertaken by the North Korea-linked hacking group called ScarCruft (aka APT37) to deliver a malware known as RokRAT.
The…
#hackernews #news
Cybersecurity researchers have discovered a new phishing campaign undertaken by the North Korea-linked hacking group called ScarCruft (aka APT37) to deliver a malware known as RokRAT.
The…
#hackernews #news
ScarCruft Uses RokRAT Malware in Operation HanKook Phantom Targeting South Korean Academics
Cybersecurity researchers have discovered a new phishing campaign undertaken by the North Korea-linked hacking group called ScarCruft (aka APT37) to deliver a malware known as RokRAT.
The activity has been codenamed Operation HanKook Phantom by Seqrite Labs, stating the attacks appear to target individuals associated with the National Intelligence Research Association, including academic figures
thehackernews.com
September 2, 2025 at 10:17 AM
ScarCruft Uses RokRAT Malware in Operation HanKook Phantom Targeting South Korean Academics
Cybersecurity researchers have discovered a new phishing campaign undertaken by the North Korea-linked hacking group called ScarCruft (aka APT37) to deliver a malware known as RokRAT.
The…
#hackernews #news
Cybersecurity researchers have discovered a new phishing campaign undertaken by the North Korea-linked hacking group called ScarCruft (aka APT37) to deliver a malware known as RokRAT.
The…
#hackernews #news
ScarCruft Uses RokRAT Malware in Operation HanKook Phantom Targeting South Korean Academics reconbee.com/scarcruft-us...
#ScarCruft #RokRAT #malware #malwareattack #HanKooKphantom #southkorean #cyberattack
#ScarCruft #RokRAT #malware #malwareattack #HanKooKphantom #southkorean #cyberattack
ScarCruft Uses RokRAT Malware in Operation HanKook Phantom Targeting South Korean Academics
national intelligence read more about ScarCruft Uses RokRAT Malware in Operation HanKook Phantom Targeting South Korean Academics
reconbee.com
September 2, 2025 at 9:47 AM
ScarCruft Uses RokRAT Malware in Operation HanKook Phantom Targeting South Korean Academics reconbee.com/scarcruft-us...
#ScarCruft #RokRAT #malware #malwareattack #HanKooKphantom #southkorean #cyberattack
#ScarCruft #RokRAT #malware #malwareattack #HanKooKphantom #southkorean #cyberattack
北朝鮮のAPT37、新たなフィッシング攻撃にRokRATを導入 研究グループ関係者などを標的に | Codebook|Security News https://codebook.machinarecord.com/threatreport/silobreaker-cyber-alert/40672/
September 2, 2025 at 7:36 AM
北朝鮮のAPT37、新たなフィッシング攻撃にRokRATを導入 研究グループ関係者などを標的に | Codebook|Security News https://codebook.machinarecord.com/threatreport/silobreaker-cyber-alert/40672/
North Korea’s APT37 deploys RokRAT in new phishing campaign against academics
https://www.byteseu.com/1340458/
North Korea’s APT37 deploys RokRAT in new phishing campaign against academics Pierluigi Paganini September 01, 2025 ScarCruft (APT37) launches Operation HanKook Phantom, a phishing …
https://www.byteseu.com/1340458/
North Korea’s APT37 deploys RokRAT in new phishing campaign against academics Pierluigi Paganini September 01, 2025 ScarCruft (APT37) launches Operation HanKook Phantom, a phishing …
North Korea’s APT37 deploys RokRAT in new phishing campaign against academics - Bytes Europe
ScarCruft (APT37) launches Operation HanKook Phantom, a phishing campaign using RokRAT to target academics, ex-officials, and researchers.
www.byteseu.com
September 2, 2025 at 3:26 AM
North Korea’s APT37 deploys RokRAT in new phishing campaign against academics
https://www.byteseu.com/1340458/
North Korea’s APT37 deploys RokRAT in new phishing campaign against academics Pierluigi Paganini September 01, 2025 ScarCruft (APT37) launches Operation HanKook Phantom, a phishing …
https://www.byteseu.com/1340458/
North Korea’s APT37 deploys RokRAT in new phishing campaign against academics Pierluigi Paganini September 01, 2025 ScarCruft (APT37) launches Operation HanKook Phantom, a phishing …
北朝鮮のAPT37が学者に対する新たなフィッシング攻撃にRokRATを導入
サイバーセキュリティ企業Seqrite Labsは、北朝鮮と関係のあるグループAPT37(別名Ricochet Chollima、ScarCruft、Reaper、Group123)によるOperation HanKook Phantomと呼ばれるフィッシング攻撃を発見した。
脅威アクターは、偽の「国家情報研究協会ニュースレター - 第52号」PDFと、偽装された悪意のあるLNKファイルを使用しています。実行されると、LNKファイルはペイロードをダウンロードするか、コマンドを実行してシステムを侵害します。
サイバーセキュリティ企業Seqrite Labsは、北朝鮮と関係のあるグループAPT37(別名Ricochet Chollima、ScarCruft、Reaper、Group123)によるOperation HanKook Phantomと呼ばれるフィッシング攻撃を発見した。
脅威アクターは、偽の「国家情報研究協会ニュースレター - 第52号」PDFと、偽装された悪意のあるLNKファイルを使用しています。実行されると、LNKファイルはペイロードをダウンロードするか、コマンドを実行してシステムを侵害します。
North Korea’s APT37 deploys RokRAT in new phishing campaign against academics
ScarCruft (APT37) launches Operation HanKook Phantom, a phishing campaign using RokRAT to target academics, ex-officials, and researchers.
securityaffairs.com
September 1, 2025 at 8:02 PM
北朝鮮のAPT37が学者に対する新たなフィッシング攻撃にRokRATを導入
サイバーセキュリティ企業Seqrite Labsは、北朝鮮と関係のあるグループAPT37(別名Ricochet Chollima、ScarCruft、Reaper、Group123)によるOperation HanKook Phantomと呼ばれるフィッシング攻撃を発見した。
脅威アクターは、偽の「国家情報研究協会ニュースレター - 第52号」PDFと、偽装された悪意のあるLNKファイルを使用しています。実行されると、LNKファイルはペイロードをダウンロードするか、コマンドを実行してシステムを侵害します。
サイバーセキュリティ企業Seqrite Labsは、北朝鮮と関係のあるグループAPT37(別名Ricochet Chollima、ScarCruft、Reaper、Group123)によるOperation HanKook Phantomと呼ばれるフィッシング攻撃を発見した。
脅威アクターは、偽の「国家情報研究協会ニュースレター - 第52号」PDFと、偽装された悪意のあるLNKファイルを使用しています。実行されると、LNKファイルはペイロードをダウンロードするか、コマンドを実行してシステムを侵害します。
ScarCruft Uses RokRAT Malware in Operation HanKook Phantom Targeting South Korean Academics ift.tt/5S6Bjxi
ScarCruft Uses RokRAT Malware in Operation HanKook Phantom Targeting South Korean Academics
ScarCruft’s Operation HanKook Phantom uses RokRAT malware in spear-phishing campaigns, targeting South Korean academics for espionage.
thehackernews.com
September 1, 2025 at 7:42 PM
ScarCruft Uses RokRAT Malware in Operation HanKook Phantom Targeting South Korean Academics ift.tt/5S6Bjxi
North Korea-linked ScarCruft is using spear-phishing with RokRAT malware to spy on academics, dubbed the #HanKookPhantom campaign.
Read: hackread.com/north-korea-...
#CyberSecurity #NorthKorea #ScarCruft #RokRAT #Malware
Read: hackread.com/north-korea-...
#CyberSecurity #NorthKorea #ScarCruft #RokRAT #Malware
North Korea’s ScarCruft Targets Academics With RokRAT Malware
Follow us on Bluesky, Twitter (X), Mastodon and Facebook at @Hackread
hackread.com
September 1, 2025 at 5:27 PM
North Korea-linked ScarCruft is using spear-phishing with RokRAT malware to spy on academics, dubbed the #HanKookPhantom campaign.
Read: hackread.com/north-korea-...
#CyberSecurity #NorthKorea #ScarCruft #RokRAT #Malware
Read: hackread.com/north-korea-...
#CyberSecurity #NorthKorea #ScarCruft #RokRAT #Malware
🚨 ScarCruft (APT37) hits South Korean academics with Operation HanKook Phantom.
📰 Fake newsletters → RokRAT malware
☁️ Cloud storage exfiltration (Dropbox, GDrive, pCloud)
🎯 Espionage, persistence, intelligence gathering
💬 Are universities ready for APT-level phishing, or are they sitting ducks?
📰 Fake newsletters → RokRAT malware
☁️ Cloud storage exfiltration (Dropbox, GDrive, pCloud)
🎯 Espionage, persistence, intelligence gathering
💬 Are universities ready for APT-level phishing, or are they sitting ducks?
September 1, 2025 at 5:26 PM
🚨 ScarCruft (APT37) hits South Korean academics with Operation HanKook Phantom.
📰 Fake newsletters → RokRAT malware
☁️ Cloud storage exfiltration (Dropbox, GDrive, pCloud)
🎯 Espionage, persistence, intelligence gathering
💬 Are universities ready for APT-level phishing, or are they sitting ducks?
📰 Fake newsletters → RokRAT malware
☁️ Cloud storage exfiltration (Dropbox, GDrive, pCloud)
🎯 Espionage, persistence, intelligence gathering
💬 Are universities ready for APT-level phishing, or are they sitting ducks?
ScarCruft's Operation HanKook Phantom targets South Korean academics with RokRAT malware via spear-phishing. Stay vigilant! #CyberSecurity #APT37 #RokRAT #Phishing #InfoSec Link: thedailytechfeed.com/scarcrufts-o...
September 1, 2025 at 4:42 PM
ScarCruft's Operation HanKook Phantom targets South Korean academics with RokRAT malware via spear-phishing. Stay vigilant! #CyberSecurity #APT37 #RokRAT #Phishing #InfoSec Link: thedailytechfeed.com/scarcrufts-o...
JUST IN 👉 North Korean APT37 Targets S. Korea With RokRAT in New Attacks
North Korean APT37 Targets S. Korea With RokRAT in New Attacks
<p>Cybersecurity researchers identified a new phishing campaign by North Korea-linked group ScarCruft (APT37), targeting South Korean individuals. The attack used […]</p>
bitnewsbot.com
September 1, 2025 at 1:28 PM
JUST IN 👉 North Korean APT37 Targets S. Korea With RokRAT in New Attacks
North Korea’s APT37 deploys RokRAT in new phishing campaign against academics
North Korea’s APT37 deploys RokRAT in new phishing campaign against academics
ScarCruft (APT37) launches Operation HanKook Phantom, a phishing campaign using RokRAT to target academics, ex-officials, and researchers.
securityaffairs.com
September 1, 2025 at 12:55 PM
North Korea’s APT37 deploys RokRAT in new phishing campaign against academics