Hackerii nord-coreeni au lansat o nouă campanie de spionaj cibernetic intitulată Ruby Jumper, demonstrează cercetările recente ale experților în securitate. Aceasta marchează o evoluție semnificativă în arsenalul grupului APT37, cunoscut și sub numele de ScarCruft, Ricochet Chollima sau InkySquid. Concret, atacatorii au dezvoltat instrumente sofisticate pentru a pătrunde în cele mai bine protejate sisteme, inclusiv cele izolate de internet, denumite air-gapped, considerate de mult timp printre cele mai sigure din lume.
Inovare și complexitate în campania Ruby Jumper
De-a lungul anilor, APT37 s-a remarcat prin utilizarea unei familii de malware numite Chinotto, folosită pentru spionaj și furt de date. Însă, recent, grupul a introdus un set complet nou de instrumente, versatil și extrem de dificil de detectat. Această campanie folosește cinci componente malware necunoscute anterior, printre care RESTLEAF, SNAKEDROPPER, THUMBSBD, VIRUSTASK și FOOTWINE. Fiecare componentă joacă un rol esențial în executarea unui lanț detaliat de atacuri, menite să infiltreze sisteme complet izolate, fără a reiesi în mod obișnuit în procesul de securitate.
Specialiștii în securitate au descoperit această înșelătorie în decembrie 2025, constatând modul în care hackerii reușesc să construiască un lanț de infecții capabil să traverseze limitele fizice ale rețelelor. În primă etapă, victimele primesc un fișier shortcut (LNK), care, odată deschis, descarcă în fundal unelte malware. Ulterior, procesul implică livrarea unor programe ascunse pe dispozitivele offline și folosirea suporturilor de stocare pentru transferul de date și control.
Transmisie subtilă și supraveghere avansată
Una dintre cele mai ingenioase metode utilizate în această campanie implică dispozitive USB impreginate, folosite atât pe computere conectate la internet, cât și pe cele izolate. Malware-ul a fost conceput să folosească aceste suporturi pentru a construi o punte de comunicare secretă între cele două medii, chiar dacă sistemele respective nu se află în contact direct.
Elementul central al acestei campanii este THUMBSBD, o “poartă ascunsă” ce deschide un canal bidirecțional de comunicare, transformând medii de stocare obișnuite în instrumente de control și supraveghere. Astfel, un utilizator, în mod neintenționat, poate activa un dispozitiv infectat doar prin conectarea sa la un computer, inițiind un lanț de infecții complexe și ascunse.
La final, FOOTWINE și VIRUSTASK pot fi folosite pentru keylogging, captură audio-video și acces la shell, toate sub un protocol criptat. Unele instrumente permit chiar și controlul complet asupra sistemului infectat, inclusiv capturare de imagini, monitorizare a tastelor tastate și acces la informații sensibile. De asemenea, malware-ul BLUELIGHT, asociat anterior cu grupul nord-coreean, face parte din arsenalul descoperit în această campanie.
Impactul și măsurile de apărători
Experții sugerează că această campanie nu este doar o demonstrație de forță tehnologică, ci și un indicator clar al noilor direcții ale atacurilor cibernetice sponsorizate de stat. Grupul APT37 demonstrează că, în fața măsurilor stricte de securitate fizică și virtuală, hackerii nord-coreeni găsesc modalități ingenioase de a păcăli sistemele de apărare și de a accesa informații extrem de sensibile.
Folosirea infrastructurii cloud pentru coordonare, în special prin platforme precum Zoho WorkDrive, OneDrive și Google Drive, adaugă o nouă dimensiune tacticii lor. Tráficoarea de comenzi și control devine astfel mai dificil de rastâdat, fiind mascată în activitățile obișnuite ale organizației.
Pentru a contracara astfel de atacuri, specialiștii recomandă monitorizarea atentă a sarcinilor programate cu nume neobișnuite, verificarea fișierelor LNK și a directorilor ascunși, precum și controlul strict asupra dispozitivelor de stocare externe. Atât sistemele informatice, cât și punctele de acces fizic trebuie supuse unei analize riguroase, mai ales într-un context în care aceste atacuri pot fi declanșate printr-un simplu clic pe un fișier de pe un stick USB sau un e-mail dubios.
Pe măsură ce cercetările continuă, se pare că grupul APT37 își intensifică eforturile pentru pătrunderea în cele mai protejate medii. Evoluțiile ulterioare indică faptul că aceste metode sofisticate vor deveni tot mai răspândite în următorii ani, ca parte a provocărilor majore în domeniul securității cibernetice.
