APT37 Dùng Facebook Xây Dựng Lòng Tin Rồi Cài RokRAT Qua Installer Giả Mạo Wondershare
APT37 Dùng Facebook Xây Dựng Lòng Tin Rồi Cài RokRAT Qua Installer Giả Mạo Wondershare
Hình 1. Toàn cảnh attack flow của chiến dịch APT37 pretexting
Tóm tắt rủi ro
APT37 (còn được biết dưới tên ScarCruft, Velvet Chollima, Ruby Sleet) vừa được phát hiện trong một chiến dịch mới, tích hợp social engineering qua Facebook với một installer hợp lệ bị trojan hóa để delivery RokRAT.
Điểm khác biệt quan trọng nhất so với các chiến dịch trước không nằm ở bản thân RokRAT, bộ tool này gần như không thay đổi core functionality từ 2022, mà ở cách nó được đưa vào máy nạn nhân. Thay vì spear-phishing email truyền thống qua HWP hay LNK file, lần này APT37 đầu tư thời gian xây dựng quan hệ thực sự qua Facebook trước khi delivery malware. Đây là mức độ patience khác hẳn với các threat actor thông thường.
Đối tượng bị nhắm: Cá nhân làm việc trong lĩnh vực quốc phòng, an ninh, và các ngành có liên quan đến chính sách Bắc Triều Tiên tại Hàn Quốc và các nước đồng minh.
Rủi ro tổ chức: Một ca nhiễm thành công cho phép attacker chụp màn hình định kỳ, thực thi lệnh tùy ý qua cmd.exe, thu thập file nhạy cảm (HWP, PDF, XLS, PPT, M4A, AMR), và exfiltrate toàn bộ qua Zoho WorkDrive, một cloud service hợp pháp khó phân biệt với traffic thông thường.
Hành động ngay: Block domain japanroom[.]com và IP 38.32.68[.]195 tại perimeter. Hunt process tree bất thường từ bất kỳ installer nào được nhận qua kênh không chính thức.
Bối cảnh: APT37 và hành trình tiến hóa của RokRAT
APT37 hoạt động ít nhất từ 2012, tập trung vào cyber espionage phục vụ lợi ích của DPRK. Core payload của nhóm, RokRAT, gần như không thay đổi về chức năng trong nhiều năm: screenshot capture, remote command execution, file exfiltration, và system reconnaissance. Điều thay đổi theo từng chiến dịch là delivery chain và evasion technique.
Từ 2024 đến nay, nhóm đã được Genians Security Center theo dõi qua ba chiến dịch có thể gọi là "milestone":
Tháng 5/2025, chiến dịch ToyBox Story sử dụng spear-phishing giả danh think tank an ninh quốc gia với C2 qua cloud service. Tháng 8/2025, nhóm ẩn payload trong ảnh JPEG và thực thi qua shellcode, một kỹ thuật steganography được phân tích chi tiết trong báo cáo về RokRAT Shellcode. Tháng 12/2025, chiến dịch Operation Artemis dùng HWP document kết hợp DLL sideloading. Song song đó, Zscaler ThreatLabz phát hiện chiến dịch APT37 Adds New Capabilities for Air-Gapped Networks (Ruby Jumper) trong đó nhóm lần đầu tiên lạm dụng Zoho WorkDrive làm C2 và dùng USB malware để xâm nhập air-gapped network.
Chiến dịch Facebook pretexting này là bước tiếp theo, đánh dấu sự thay đổi attack vector từ inbox sang social media feed.
Kịch bản tấn công: Từ friend request đến root access
Giai đoạn 1: Xây dựng lòng tin qua Facebook
Hai tài khoản Facebook được tạo cùng ngày 10/11/2025, cả hai khai địa điểm ở Bình Nhưỡng và Bình Thành, Bắc Triều Tiên: "richardmichael0828" và "johnsonsophia0414". Attacker gửi friend request đến các mục tiêu đã được chọn lọc từ trước, sau đó duy trì conversation qua Messenger trong một khoảng thời gian để xây dựng sự quen thuộc.
Đây không phải phishing thông thường. Pretexting, kỹ thuật attacker tạo ra một kịch bản giả để nạn nhân tự nguyện thực hiện hành động cụ thể, được thực hiện khéo léo ở đây: sau khi tạo được rapport, attacker đề cập đến các tài liệu mật về vũ khí quân sự và khẳng định cần phải dùng một phần mềm riêng biệt để mở file có mã hóa. Nạn nhân được chuyển sang Telegram để nhận file.
Hình 2. Trao đổi qua Telegram để giao nhận file độc hại
Đáng chú ý trong đoạn chat có chữ "콤퓨터" (cách viết âm tiếng Anh "computer" theo chuẩn Bắc Triều Tiên thay vì "컴퓨터" của Hàn Quốc), và file hướng dẫn "설명서.txt" chứa các từ "프로그람" (program) và "화일" (files) theo cách viết đặc trưng của tiếng Bắc Triều Tiên. Đây là linguistic indicator quan trọng cho attribution.
Hình 3. Nội dung file 설명서.txt với từ ngữ đặc trưng Bắc Triều Tiên
Giai đoạn 2: Installer bị trojan hóa
File ZIP được giao qua Telegram kèm password riêng. Khi giải nén ra, nạn nhân thấy bốn file PDF có tiêu đề liên quan đến vũ khí quân sự, một file txt hướng dẫn cài đặt, và một file exe được giới thiệu là PDF viewer chuyên dụng để mở các tài liệu mã hóa.
Hình 4. Trang web chính thức Wondershare PDFelement
File exe được đặt tên "Wondershare_PDFelement_Installer(PDF_Security).exe" thay vì tên gốc "Wondershare_PDFelement_Installer.exe". Sự khác biệt này dễ bị bỏ qua vì "(PDF_Security)" nghe có vẻ hợp lý trong ngữ cảnh "phần mềm bảo mật để mở file mã hóa". Tuy nhiên có một điểm khác biệt không thể giả mạo: installer gốc có digital signature hợp lệ của Wondershare, bản bị trojan hóa không có.
Phân tích kỹ thuật chi tiết
PE Patching: Thay đổi entry point, giữ nguyên chức năng
Attacker không viết lại toàn bộ installer. Thay vào đó, họ chỉ sửa entry point và chèn shellcode vào một code cave có sẵn trong binary.
Hình 5. So sánh entry point: 0x00114103 (hợp lệ) và 0x0015A0E0 (bị trojan hóa)
Installer hợp lệ có AddressOfEntryPoint là 0x00114103, nằm ở đầu section .text. Bản bị trojan hóa có entry point bị đổi thành 0x0015A0E0, nằm gần cuối section .text, cách vị trí gốc khoảng 0x460DD byte. Tại đây, attacker đã chèn vào khoảng 2KB shellcode vào một vùng code cave, vùng không gian trống không được sử dụng trong binary gốc.
Khi người dùng chạy installer, execution bắt đầu từ entry point mới, chạy toàn bộ shellcode, sau đó nhảy ngược lại entry point gốc 0x00114103 để quá trình cài đặt Wondershare PDFelement diễn ra bình thường. Người dùng thấy cài đặt thành công, không nghi ngờ gì.
12-stage shellcode execution flow
Hình 6. Luồng thực thi lệnh độc hại từ entry point bị trojan hóa
Shellcode thực thi theo 12 stage có chức năng riêng biệt:
| Stage | Offset | Chức năng | Mô tả chính |
|---|---|---|---|
| 1 | 0x0000-0x000A | Entry Point Redirect | CALL vào shellcode, chuẩn bị JMP trở về OEP |
| 2 | 0x000A-0x0016 | Shellcode Prologue | Tạo stack frame, cấp phát 1.424 byte local variable |
| 3 | 0x0016-0x005C | Path Construction | Dựng đường dẫn "%windir%\System32\dism.exe" động trên stack qua MOV |
| 4 | 0x005C-0x00E3 | API Resolution + CreateProcessA | PEB hash lookup, tạo tiến trình dism.exe với CREATE_SUSPENDED |
| 5 | 0x00E3-0x011E | VirtualAllocEx | Cấp phát vùng nhớ trong tiến trình remote, quyền EXECUTE_READWRITE |
| 6 | 0x011E-0x01E1 | XOR Decrypt + WriteProcessMemory | Giải mã payload bằng XOR key 0x6D, ghi vào tiến trình dism.exe |
| 7 | 0x01E1-0x0224 | CreateRemoteThread | Tạo remote thread để thực thi payload đã inject |
| 8 | 0x0224-0x0228 | Return to OEP | Restore registers, nhảy về 0x00114103 để cài đặt bình thường |
| 9 | 0x0229-0x02D1 | wininet.dll Loader | Load wininet.dll, cấp phát 10MB download buffer, nhận stage 2 |
| 10 | 0x02D2-0x03E4 | HTTP C2 Download | InternetOpenA → InternetOpenUrlA → InternetReadFile loop |
| 11 | 0x03E5-0x054F | PEB Walker / API Hash Resolver | ROR-13 hashing qua InLoadOrderModuleList để resolve API |
| 12 | 0x0550-0x055E | get-EIP Stub | Tính địa chỉ blob dữ liệu mã hóa dựa trên vị trí thực thi hiện tại |
Một số kỹ thuật đáng chú ý trong shellcode:
String obfuscation: Địa chỉ "%windir%\System32\dism.exe" không được lưu dưới dạng plaintext, thay vào đó được nạp từng 4 byte lên stack qua các lệnh MOV trong runtime. Static analysis không thấy chuỗi này trong binary.
PEB-based API resolution: Shellcode không dùng Import Address Table của chương trình. Thay vào đó, nó traverse Process Environment Block (PEB) để resolve địa chỉ các system function cần thiết tại runtime bằng ROR-13 hash comparison.
Process Hollowing variant: dism.exe (Windows Deployment Image Servicing tool hợp pháp) được spawn ở trạng thái SUSPENDED, sau đó payload được inject vào memory của nó và thread được tạo để thực thi. Dism.exe hiển thị trong process list như một tiến trình Windows hợp lệ.
C2 URL ẩn trong shellcode: Giải mã XOR tại runtime
URL của C2 server được mã hóa XOR single-byte trong shellcode, giải mã hoàn toàn trong runtime trước khi được sử dụng.
Hình 7. Phân tích quá trình giải mã XOR để lấy URL C2
Quy trình giải mã: shellcode dùng get-EIP stub tại offset 0x0550 để xác định vị trí blob dữ liệu mã hóa trong bộ nhớ. Byte đầu tiên (0x6D, ASCII "m") được dùng làm XOR key. Từ byte thứ hai trở đi được XOR lần lượt với 0x6D cho đến khi gặp null byte.
Kết quả giải mã ra URL C2:
http://japanroom[.]com/board/DATA/1288247428101.jpg
"japanroom[.]com" là website của chi nhánh Seoul của một dịch vụ thông tin bất động sản Nhật Bản, bị compromise và dùng làm C2 infrastructure. Đuôi ".jpg" ngụy trang request như một truy cập ảnh thông thường để qua mặt URL filtering và network monitoring.
Stage 2 payload: Fileless execution hoàn toàn trong memory
Sau khi tải về "1288247428101.jpg", shellcode không xử lý đây là ảnh. File được giải mã bằng XOR một lần nữa với key là byte đầu tiên của dữ liệu nhận được (0x6F). Sau khi giải mã, shellcode verify chữ ký: byte đầu là 0x55 (PUSH EBP) và byte thứ hai là 0x8B, khớp với function prologue chuẩn x86 "55 8B EC". Nếu signature check thất bại, shellcode sleep 5 giây và retry download.
Hình 8. Vòng lặp giải mã XOR cho stage 2 payload, retry loop nếu signature không hợp lệ
Nếu hợp lệ, shellcode dùng LEA EAX, [ESI+1] để bỏ qua XOR key byte và CALL EAX để thực thi stage 2 shellcode trực tiếp trong memory. Không có file nào được ghi xuống disk trong toàn bộ giai đoạn này.
Stage 2 shellcode tiếp tục giải mã payload cuối bằng XOR DWORD với key 0x86F68586 trên toàn bộ 851.968 byte dữ liệu. PE file kết quả bị cố ý xóa MZ và PE signature để cản forensics, nhưng section table và import table vẫn intact, cho phép shellcode's custom loader tự parse, map vào memory và thực thi payload cuối: RokRAT.
RokRAT: Chức năng và cơ sở hạ tầng C2
Capabilities
RokRAT thực thi hoàn toàn trong managed memory của tiến trình bị inject, cung cấp các chức năng chính sau:
Thu thập thông tin hệ thống: GetComputerNameW, GetUserNameW lấy tên máy và người dùng. GetLogicalDrives và GetDiskFreeSpaceExW để enumerate cấu hình ổ đĩa. Truy vấn ipinfo[.]io/json để xác định IP public và geolocation. CreateToolhelp32Snapshot và Process32NextW để liệt kê tiến trình đang chạy.
Chụp màn hình: Xác định độ phân giải desktop bằng GetDC và GetSystemMetrics, copy toàn bộ màn hình bằng CreateCompatibleBitmap và BitBlt, encode sang JPEG bằng GDI+, sau đó exfiltrate.
Remote command execution: Hỗ trợ thực thi lệnh tùy ý qua format "cmd.exe /c %s".
File exfiltration: Thu thập file theo extension: .DOC, .XLS, .PPT, .PDF, .HWP, .TXT, .M4A, .AMR (bao gồm cả audio recording từ smartphone).
Anti-analysis: Kiểm tra sự hiện diện của 360Tray.exe (Qihoo 360 security product). Sử dụng 21 User-Agent string khác nhau để ngụy trang network traffic. CryptoPP library để hỗ trợ AES-CBC và RSA encryption. Có thể drop file "OfficeUpdate.exe" vào AppData khi nhận lệnh cụ thể.
C2 qua Zoho WorkDrive
Toàn bộ data thu thập được mã hóa AES-256-CBC trước khi exfiltrate qua Zoho WorkDrive OAuth2 API với hai bộ credential hardcode trong binary:
| Tham số | Giá trị (redacted) |
|---|---|
| Client_id 1 | 1000.PZCKAWFHJPS9A6WU5G************ |
| Client_id 2 | 1000.LS8YMLB2Z0BSHSL3VW************ |
| Refresh_Token 1 | 1000.c637b3e7d74c2d678663454d16311b15.12b0******** |
| Refresh_Token 2 | 1000.085128b4e96633c82beb2101f5c525e4.6ee7******** |
Lạm dụng Zoho WorkDrive làm C2 channel là TTP mà Zscaler ThreatLabz đã ghi nhận lần đầu trong chiến dịch APT37 Ruby Jumper hồi tháng 12/2025, đây là lần đầu tiên nhóm này dùng Zoho. Chiến dịch pretexting Facebook này tái sử dụng cùng C2 mechanism nhưng với delivery chain khác hoàn toàn, cho thấy Zoho WorkDrive đang trở thành thành phần ổn định trong infrastructure của APT37.
Lý do Zoho WorkDrive được chọn rõ ràng: traffic đến cloud storage hợp lệ rất khó phân biệt với hoạt động kinh doanh bình thường. Không giống kết nối đến IP lạ hoặc domain mới đăng ký, Zoho WorkDrive API traffic hầu như không kích hoạt alert trong hầu hết môi trường.
Hình 9. Strings nhúng trong binary, bao gồm chuỗi "FBI TOOLKIT GIDRA TEAM" được dùng làm AES decryption key
Attribution: Tại sao đây là APT37
Code similarity với RokRAT đã biết
So sánh với biến thể RokRAT được phân tích tháng 12/2025 cho thấy code similarity rất cao.
Hình 10. So sánh code với biến thể RokRAT được phân tích tháng 12/2025, code similarity rất cao
Infrastructure reuse
IP 38.32.68[.]195, thuộc dải Astrill VPN, đã được Recorded Future và Silent Push xác định trong báo cáo phân tích PurpleBravo và Lazarus Group infrastructure. Cùng IP từng xuất hiện liên quan đến tấn công supply chain nhắm vào phần mềm IT. Việc reuse infrastructure cho thấy khả năng cao đây là cùng một cluster threat actor hoặc nhóm liên quan chặt chẽ.
Zoho account history
APT37 có tiền lệ lạm dụng Zoho từ 2017 khi dùng "scott.snyder@zoho.com" trong spear-phishing. Account "leon91729@zoho.com" xuất hiện thêm trong nửa cuối 2025 cùng với malware dùng Zoho WorkDrive C2. Decoy document kèm theo chiến dịch năm đó được soạn bằng font chữ Bắc Triều Tiên "Chollima". Account "kingtiger1970" cũng được xác định liên quan trong quá trình đăng ký.
Debugging string "JinHyok" được tìm thấy trong C2 communication, một identifier đã xuất hiện trong các báo cáo trước về North Korean threat actor.
MITRE ATT&CK Mapping
| Tactic | Technique ID | Technique Name | Triển khai trong chiến dịch |
|---|---|---|---|
| Initial Access | T1566.003 | Phishing via Service | Facebook Messenger và Telegram làm delivery channel thay vì email |
| Initial Access | T1195.002 | Compromise Software Supply Chain | Trojan hóa installer hợp pháp Wondershare PDFelement |
| Execution | T1106 | Native API | PEB traversal để resolve API địa chỉ tại runtime |
| Execution | T1059.003 | Windows Command Shell | Remote command execution qua "cmd.exe /c %s" |
| Defense Evasion | T1027 | Obfuscated Files or Information | XOR multi-layer encryption cho C2 URL và payload |
| Defense Evasion | T1036.005 | Masquerading: Match Legitimate Name | dism.exe làm process host, OfficeUpdate.exe làm persistence |
| Defense Evasion | T1055.002 | Process Injection: Portable Executable Injection | Inject PE payload vào dism.exe suspended process |
| Defense Evasion | T1070.006 | Indicator Removal: Timestomp | PE compile timestamp bị zero-out trong payload cuối |
| Defense Evasion | T1205 | Traffic Signaling | JPG extension ngụy trang C2 request thành image request |
| Persistence | T1547.001 | Boot/Logon Autostart: Registry Run Keys | OfficeUpdate.exe được place vào AppData |
| Discovery | T1082 | System Information Discovery | GetComputerNameW, GetUserNameW, disk enumeration, ipinfo.io |
| Discovery | T1057 | Process Discovery | CreateToolhelp32Snapshot để hunt security tools như 360Tray.exe |
| Collection | T1113 | Screen Capture | GDI+ screenshot capture định kỳ |
| Collection | T1005 | Data from Local System | Thu thập file .HWP, .PDF, .DOC, .M4A, .AMR |
| Command and Control | T1102.002 | Web Service: Bidirectional Communication | Zoho WorkDrive OAuth2 API làm C2 channel |
| Command and Control | T1001.002 | Data Obfuscation: Steganography | Payload ẩn trong JPG-named file |
| Exfiltration | T1041 | Exfiltration Over C2 Channel | AES-256-CBC encrypted data qua Zoho WorkDrive |
Detection: Những gì có thể phát hiện được
EDR process tree
Hình 11. EDR Attack Storyline: Wondershare installer spawn dism.exe như child process
Signal rõ ràng nhất trên EDR là process tree: "Wondershare_PDFelement_Installer(PDF_Security).exe" spawn "dism.exe" như child process. Trong môi trường bình thường, installer phần mềm văn phòng không có lý do gì để launch deployment tool của Windows làm tiến trình con.
# Hunt process tree bất thường
parent_name: *Installer*.exe
AND child_name: dism.exe
# Hoặc rộng hơn: bất kỳ installer nào spawn system utilities
parent_path: *\Downloads\* OR *\Temp\*
AND child_name: (dism.exe OR wscript.exe OR powershell.exe OR cmd.exe)
Network C2 attempt
Hình 12. Shellcode cố gắng kết nối C2, bị block tại thời điểm phân tích, sau đó liên tục TCP bind
Malware thực hiện TCP bind liên tục sau khi C2 connection thất bại. Đây là thêm một signal: dism.exe thực hiện outbound HTTP hoặc TCP bind mà không phải do user trigger.
# Network: dism.exe thực hiện outbound request
process_name: dism.exe AND network.direction: outbound
# C2 specific domains
dns.query: japanroom[.]com
# Zoho WorkDrive C2 pattern (khó hơn, cần app-layer visibility)
http.host: workdrive.zoho.com
AND process_name: (NOT [whitelisted_business_apps])
AND user_agent: [21 known APT37 UA strings]
Memory forensics
Hình 13. Admin EDR có thể dump tiến trình dism.exe và trích xuất địa chỉ C2 ẩn
Trong trường hợp nghi ngờ, dump tiến trình dism.exe và tìm kiếm pattern URL trong hexdump. Mặc dù URL bị XOR trong binary trên disk, sau khi giải mã và inject vào dism.exe thì URL nằm ở dạng plaintext trong process memory.
File indicators
# Filename pattern đáng ngờ
filename: Wondershare_PDFelement_Installer(PDF_Security).exe
# File không có digital signature trong thư mục Download
file_signature: unsigned AND file_path: *\Downloads\* AND file_type: exe
Nhận định
Social media là attack surface mới không có trong email security policy
Phần lớn tổ chức đã xây dựng security policy xoay quanh email: không click link lạ, không mở attachment từ nguồn không rõ, kiểm tra sender domain. Những training này gần như vô hiệu với attack vector qua Facebook Messenger.
Khi một người nhận được message từ một account mà họ đã chấp nhận friend request, đã trò chuyện qua vài lần trước, và được cung cấp nội dung "liên quan đến công việc chuyên môn" của họ, các heuristic phòng thủ tự nhiên của con người không kích hoạt theo cách tương tự như với email từ địa chỉ lạ.
Installer trojan hóa tránh được hash-based detection
File exe có tên hợp lệ, giao diện cài đặt bình thường, và thực sự cài đặt Wondershare PDFelement thành công. Hash sẽ khác với installer chính hãng, nhưng nếu không có file hash của installer gốc trong blocklist, nhiều AV sẽ không phát hiện vì malicious code chỉ chiếm 2KB trong một binary hàng chục MB.
Zoho WorkDrive C2 là bước tiến trong operational security
Việc APT37 bắt đầu dùng Zoho WorkDrive từ chiến dịch Ruby Jumper (tháng 12/2025) và tiếp tục trong chiến dịch này cho thấy đây là quyết định deliberate, không phải thử nghiệm. Cloud storage service hợp pháp có SSL, có CDN toàn cầu, và traffic của nó gần như không thể phân biệt với user bình thường từ góc nhìn network monitoring. Đây là C2 channel có độ bền cao hơn nhiều so với domain do attacker kiểm soát.
Tương tự pattern này, Zscaler cũng ghi nhận APT37 lạm dụng Dropbox, pCloud và Yandex Cloud trong các chiến dịch trước. Danh sách cloud service bị abuse đang ngày càng dài ra.
Fileless delivery chain làm forensics trở nên cực kỳ khó
Stage 2 payload không bao giờ được ghi xuống disk. Toàn bộ chain từ JPG download đến RokRAT execution xảy ra trong memory của dism.exe. Trong nhiều trường hợp incident response, team sẽ chỉ thấy dism.exe chạy bất thường mà không tìm được bất kỳ file độc hại nào trên disk. Process dump là bước không thể bỏ qua trong loại incident này.
Khuyến nghị hành động
Immediate (0-24h)
Block ngay các indicator đã biết tại perimeter:
# Domain
japanroom[.]com
# IP
38.32.68[.]195 # VPN/infrastructure reused với Lazarus/APT37 clusters
222.122.49[.]15 # C2 liên quan
# File hash (MD5)
c681fe3f42e82e9240afe97c23971cbc
d44a22d2c969988a65c7d927e22364c8
28d0143718153bf04c1919a26bb70c2d
36be2cbb59cd1c3f745d5f80f9aee21c
Hunt ngược 90 ngày trong EDR log với query:
process_name: dism.exe AND parent_path: *\Downloads\* OR *\Temp\*
Nếu có hit và không có alert tương ứng, đó là tín hiệu cần điều tra ngay.
Short-term (1-7 ngày)
Hardening đối với installer từ nguồn không chính thức:
Thiết lập rule EDR alert khi bất kỳ executable nào từ thư mục Downloads hoặc Temp spawn các system utility như dism.exe, wscript.exe, hoặc mshta.exe. Trong môi trường bình thường, đây là behavior không có business justification.
Kiểm tra Zoho WorkDrive access:
# Nếu Zoho WorkDrive không phải công cụ kinh doanh chính thức
# Alert khi process lạ thực hiện API call đến workdrive.zoho.com
http.host: workdrive.zoho.com
AND NOT process_name: [approved_business_apps]
Review social media policy:
Rà soát xem tổ chức có guideline cụ thể về việc nhận file qua Facebook Messenger, Telegram, hay các messaging platform không phải email không. Nếu chưa có, đây là thời điểm để xây dựng. Guideline cần bao gồm: không cài đặt phần mềm nhận từ social media, verify bằng kênh khác trước khi mở file từ người quen nhưng không phải đồng nghiệp chính thức.
Verify digital signature của installer trước khi chạy:
# Kiểm tra digital signature của exe trước khi chạy
Get-AuthenticodeSignature "path\to\installer.exe" | Select Status, SignerCertificate
# Status phải là "Valid" với certificate từ vendor chính thức
Long-term
Mở rộng threat model ra ngoài email:
Social media đang trở thành attack vector chính thức đối với APT targeting. Threat model của tổ chức cần bao gồm Facebook, LinkedIn, Telegram và các platform tương tự như kênh có thể bị dùng cho initial access. Điều này ảnh hưởng đến cả user training lẫn monitoring strategy.
Triển khai memory forensics capability:
Với fileless attack như thế này, disk-based forensics không đủ. Tổ chức cần khả năng dump và analyze process memory khi có suspicious activity, đặc biệt với các tiến trình hệ thống như dism.exe, svchost.exe, hoặc explorer.exe đang có network activity bất thường.
Theo dõi APT37 TTP evolution:
Nhóm này đang iterate delivery mechanism theo từng chiến dịch. Từ HWP → LNK → DLL sideloading → steganography → trojan installer + Facebook pretexting, mỗi bước là một thay đổi về attack surface. Security team cần cập nhật rule và hunting query sau mỗi chiến dịch mới được public.
Đánh giá cloud service C2 risk:
Zoho WorkDrive, Google Drive, OneDrive và Dropbox đều đã bị APT37 lạm dụng. Với tổ chức xử lý data nhạy cảm, cần có policy rõ ràng về việc application nào được phép upload data lên cloud storage platform nào, và có monitoring tương ứng để phát hiện anomaly.
Indicators of Compromise
# MD5 Hash
c681fe3f42e82e9240afe97c23971cbc # Installer trojan hóa
d44a22d2c969988a65c7d927e22364c8
28d0143718153bf04c1919a26bb70c2d
36be2cbb59cd1c3f745d5f80f9aee21c # Payload liên quan
# C2 Domain
japanroom[.]com # Japanese real estate site bị compromise, dùng làm C2
# IP Addresses
38.32.68[.]195 # Astrill VPN IP, liên kết với APT37/Lazarus infrastructure
222.122.49[.]15 # C2 liên quan
# Facebook accounts (đã được tạo ngày 10/11/2025)
richardmichael0828
johnsonsophia0474
# Zoho email liên quan
leon91729@zoho.com
# File pattern đáng ngờ
Wondershare_PDFelement_Installer(PDF_Security).exe # Tên đặc trưng
m.zip # Tên archive được giao qua Telegram
# C2 URL pattern
http://japanroom[.]com/board/DATA/[số].jpg
# Debugging string trong binary
#FBI#TOOLKIT#GIDRA@TEAM
@-IV-FBI-SERVER2
JinHyok
Nguồn tham khảo:
APT37's Pretexting-Based Targeted Intrusion: Analysis of Facebook Reconnaissance and Software Tampering Attacks — Genians Security Center
North Korea's APT37 Uses Facebook Social Engineering to Deliver RokRAT Malware — The Hacker News
APT37 Uses Facebook, Telegram, and Trojanized Installer in New Intrusion Campaign — CyberPress
APT37 Adds New Capabilities for Air-Gapped Networks (Ruby Jumper) — Zscaler ThreatLabz
ScarCruft Uses Zoho WorkDrive and USB Malware to Breach Air-Gapped Networks — The Hacker News / Zscaler
