North Koreas APT37 Uses Facebook Social Engineering to Deliver RokRAT Malware

1 minute de lecture

Mis à jour : April 13, 2026

Campagne d’ingénierie sociale : APT37 déploie le malware RokRAT via Facebook

Le groupe nord-coréen APT37 (ScarCruft) mène une campagne sophistiquée d’ingénierie sociale ciblant des utilisateurs via Facebook. Après avoir établi une relation de confiance, les attaquants incitent leurs victimes à installer un lecteur PDF piégé pour consulter de prétendus documents militaires confidentiels.

Points clés :

Mode opératoire : Utilisation de faux profils Facebook pour établir un contact, puis migration de la discussion vers Telegram.
Vecteur d’infection : Un fichier ZIP contenant une version altérée de Wondershare PDFelement. L’exécution du logiciel déclenche un shellcode malveillant.
Infrastructure : Utilisation de sites légitimes compromis pour le contrôle et commande (C2) et détournement de Zoho WorkDrive pour héberger des charges utiles.
Discrétion : Le malware RokRAT se dissimule dans des fichiers images (JPG) et utilise des techniques de masquage d’extension pour contourner les outils de sécurité.
Capacités du malware : Exécution de commandes à distance, captures d’écran, reconnaissance système et vol d’informations.

Vulnérabilités :

Il ne s’agit pas de l’exploitation d’une faille CVE spécifique, mais de l’exécution de code arbitraire via l’installation de logiciels altérés (trojanisation d’applications légitimes).

Recommandations :

Méfiance sur les réseaux sociaux : Ne jamais accepter de demandes d’amis provenant d’inconnus et éviter de transférer des échanges privés vers des applications tierces (Telegram).
Origine des logiciels : Télécharger uniquement des logiciels depuis les sites officiels des éditeurs. Toute invitation à installer un “lecteur spécifique” pour ouvrir un document doit être traitée comme hautement suspecte.
Vigilance sur les fichiers : Se méfier des archives contenant des exécutables ou des logiciels soi-disant nécessaires pour ouvrir des documents bureautiques.
Sécurité des endpoints : Maintenir les solutions de détection (EDR/AV) à jour et surveiller les comportements réseau anormaux vers des services de stockage cloud inhabituels.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

North Koreas APT37 Uses Facebook Social Engineering to Deliver RokRAT Malware

Campagne d’ingénierie sociale : APT37 déploie le malware RokRAT via Facebook

Partager sur

Vous pourriez aimer

Your MTTD Looks Great. Your Post-Alert Gap Doesnt

Combler le fossé post-alerte : L’impératif de l’IA dans les SOC

⚡ Weekly Recap: Fiber Optic Spying, Windows Rootkit, AI Vulnerability Hunting and More

Actualités Cyber : Menaces émergentes, vulnérabilités critiques et outils de défense

The silent “Storm”: New infostealer hijacks sessions, decrypts server-side

Storm : Le nouveau malware qui contourne la sécurité par le chiffrement côté serveur

Scans for EncystPHP Webshell, (Mon, Apr 13th)

Recrudescence des scans pour le Webshell EncystPHP sur FreePBX