Le groupe de menace nord-coréen ScarCruft, également connu sous le nom d'APT37, a été identifié dans une nouvelle campagne sophistiquée nommée "Ruby Jumper" par Zscaler ThreatLabz. Cette opération vise principalement la surveillance et l'exfiltration de données, avec une capacité alarmante à compromettre les réseaux isolés (air-gapped).
L'attaque débute par l'ouverture d'un fichier LNK malveillant qui exécute un script PowerShell. Ce script déploie plusieurs charges utiles, dont un document leurre sur le conflit Palestine-Israël et l'exécutable RESTLEAF. RESTLEAF est notable pour son utilisation inédite de Zoho WorkDrive comme infrastructure de commande et contrôle (C2), permettant le téléchargement de charges utiles supplémentaires via des jetons d'accès valides.
Une fois authentifié, RESTLEAF injecte du shellcode pour déployer SNAKEDROPPER, qui installe l'environnement d'exécution Ruby et assure la persistance. SNAKEDROPPER dépose ensuite THUMBSBD et VIRUSTASK. THUMBSBD est un composant clé qui utilise des supports amovibles (clés USB) pour relayer des commandes et transférer des données entre les systèmes connectés à Internet et les réseaux air-gapped. Il est capable de collecter des informations système, d'exfiltrer des fichiers et d'exécuter des commandes arbitraires. VIRUSTASK, similaire à THUMBSBD, se concentre spécifiquement sur la propagation via supports amovibles pour l'accès initial aux systèmes air-gapped.
Parmi les charges utiles livrées par THUMBSBD figure FOOTWINE, un implant de surveillance doté de capacités d'enregistrement de frappes (keylogging), de capture audio et vidéo. BLUELIGHT, un backdoor précédemment attribué à ScarCruft, est également distribué, exploitant des services cloud légitimes comme Google Drive et Microsoft OneDrive pour le C2.
Éléments principaux :
- Acteur de la menace : ScarCruft (APT37), groupe nord-coréen.
- Campagne : "Ruby Jumper", découverte en décembre 2025 par Zscaler ThreatLabz.
- Vecteur d'attaque initial : Fichiers LNK malveillants.
- Malwares utilisés : RESTLEAF, SNAKEDROPPER, THUMBSBD, VIRUSTASK, FOOTWINE, BLUELIGHT.
- Infrastructure C2 : Zoho WorkDrive (nouveau pour ScarCruft), Google Drive, Microsoft OneDrive, pCloud, BackBlaze.
- Techniques clés :
- Abus de services cloud légitimes pour le C2.
- Utilisation de supports amovibles (USB) par THUMBSBD et VIRUSTASK pour infiltrer les réseaux air-gapped.
- Chaîne d'infection multi-étapes avec PowerShell et injection de processus.
- Leurre basé sur un article sur le conflit Palestine-Israël.
- Capacités de surveillance : Keylogging, capture audio et vidéo via FOOTWINE.
- Impact : Compromission de réseaux isolés, exfiltration de données sensibles, surveillance étendue des victimes, exécution de commandes arbitraires.
- Recommandations :
- Sensibilisation accrue des utilisateurs aux risques des fichiers LNK et du phishing.
- Mise en place de politiques strictes de gestion et de contrôle des supports amovibles.
- Surveillance proactive de l'utilisation des services de stockage cloud légitimes pour détecter les activités suspectes.
- Application de la segmentation réseau et du principe du moindre privilège.
- Maintien à jour des systèmes d'exploitation et des applications.