# Operation Hankook Phantom > [!high] APT37 Explora Newsletter de Inteligência sul-coreana com RokRAT > A **Operation Hankook Phantom** foi uma campanha de espionagem conduzida pelo **APT37** (ScarCruft) em agosto de 2025, visando profissionais de inteligência e academicos sul-coreanos através de um arquivo LNK malicioso disfarçado como newsletter de análise de inteligência. A campanha utilizou **RokRAT** com execução fileless e cloud storage (Dropbox, pCloud, Yandex.Disk) como C2, demonstrando a abordagem persistente do grupo contra alvos de alto valor na Coreia do Sul. ## Visão Geral A Operation Hankook Phantom representa mais uma campanha na longa serie de operações de espionagem conduzidas pelo [[g0067-apt37]] (também denominado ScarCruft ou Group 123) contra alvos sul-coreanos de alto valor. O grupo, com nexo na Coreia do Norte, foi identificado como responsavel pela campanha por pesquisadores da Zscaler ThreatLabz em agosto de 2025. O isco utilizado na campanha era particularmente sofisticado: um arquivo LNK mascarado como newsletter da Korea Intelligence Analysts Association - uma organização real com membros no setor de inteligência governamental e academico sul-coreano. A escolha do isco demonstra reconhecimento OSINT preciso do grupo sobre o perfil das organizacoes-alvo desejadas e seus habitos de consumo de informação. O payload entregue foi o [[s0240-rokrat]] - o malware signature do APT37, ativo desde pelo menos 2017 e continuamente aprimorado. A variante utilizada na Operation Hankook Phantom empregava execução fileless via PowerShell e comunicação C2 através de múltiplos servicos de cloud storage (Dropbox, pCloud e Yandex.Disk) para maximizar a dificuldade de detecção. O trafego C2 misturava-se com uso legitimo desses servicos em redes corporativas. Um segundo isco foi identificado em campanha paralela: um arquivo LNK disfarçado como declaracao de Kim Yo-jong (irma de Kim Jong-un) sobre questoes de politica externa, demonstrando o alcance de iscos politicamente relevantes do grupo para diferentes segmentos de alvos sul-coreanos. O modelo de operação do APT37 - fileless, cloud C2, iscos politicos contextualizados - representa a evolução das TTPs do grupo desde suas primeiras documentacoes em 2018, demonstrando desenvolvimento tecnico continuo e adaptacao a controles de segurança modernos. ## Attack Flow ```mermaid graph TB A["📧 Email com Arquivo LNK<br/>Newsletter Korea Intelligence<br/>Analysts Association"] --> B["🖱️ Usuario Abre LNK<br/>User Execution T1204<br/>Decoy PDF mostrado"] B --> C["⚙️ PowerShell Fileless<br/>Script na memoria<br/>Sem arquivo no disco"] C --> D["💧 RokRAT Injetado<br/>Em processo legitimo<br/>explorer.exe ou outros"] D --> E["☁️ C2 via Cloud Storage<br/>Dropbox + pCloud<br/>+ Yandex.Disk"] E --> F["🔍 Reconhecimento<br/>Documentos estratégicos<br/>Contatos de inteligencia"] F --> G["📤 Exfiltração<br/>Arquivos para Dropbox<br/>Comandos via Yandex"] ``` ### RokRAT - Evolução e Capacidades ```mermaid graph TB A["RokRAT APT37 2025"] --> B["Entrega via LNK<br/>Execução PowerShell<br/>Fileless T1059.001"] A --> C["Injecao de Processo<br/>Execução em contexto<br/>de processo legitimo"] A --> D["Multi-Cloud C2<br/>Dropbox + pCloud<br/>+ Yandex.Disk"] A --> E["Capacidades<br/>Screenshot periodico<br/>Keylogging + Exfiltração"] D --> F["Evasão de Detecção<br/>C2 em servicos conhecidos<br/>Indistinguível de uso normal"] ``` ## Cronologia | Data | Evento | |------|--------| | 2025-08-01 | Primeiro arquivo LNK da campanha identificado via telemetria Zscaler | | 2025-08-15 | Segundo isco (declaracao Kim Yo-jong) identificado em campanha paralela | | 2025-08-20 | Zscaler ThreatLabz atribui campanha ao APT37 via análise de RokRAT | | 2025-08-28 | Publicacao do relatorio tecnico pela Zscaler com IOCs e TTPs detalhados | | 2025-09 | Atividade da campanha cai após públicacao pública | ## TTPs (MITRE ATT&CK) | ID | Técnica | Uso na Campanha | |----|---------|-----------------| | [[t1566-phishing\|T1566]] | Phishing | Email com arquivo LNK mascarado como newsletter profissional | | [[t1204-user-execution\|T1204]] | User Execution | Abertura do arquivo LNK pelo usuario aciona payload | | [[t1059-command-scripting-interpreter\|T1059]] | Command Scripting | PowerShell fileless para execução de RokRAT na memoria | | [[t1027-obfuscated-files\|T1027]] | Obfuscated Files | Payload RokRAT ofuscado para evasão de AV | | [[t1102-web-service\|T1102]] | Web Service | Dropbox, pCloud e Yandex.Disk como canais C2 | | [[t1055-process-injection\|T1055]] | Process Injection | RokRAT injetado em processo legitimo do Windows | | [[t1113-screen-capture\|T1113]] | Screen Capture | RokRAT captura screenshots periodicos do desktop | ## Vitimas e Alvos O [[g0067-apt37]] demonstrou foco preciso em profissionais de inteligência e politica coreana: - **Analistas de inteligência sul-coreanos**: Membros da Korea Intelligence Analysts Association - **Academicos de politica de segurança**: Pesquisadores de politica da Coreia do Norte e relacoes inter-coreanas - **Funcionarios governamentais**: Servidores com acesso a análises de inteligência e politica externa - **Jornalistas especializados**: Profissionais cobrindo Coreia do Norte e questoes de defesa ## Relevância LATAM O impacto direto para o Brasil e LATAM e nulo dado o foco geografico exclusivo na Coreia do Sul. No entanto: > [!latam] Contexto Brasil e LATAM > O modelo operacional do APT37 - iscos contextualizados para comunidades específicas (analistas de inteligência), execução fileless e C2 via cloud - representa o estado da arte em campanhas de espionagem que podem ser adaptadas. O **Blind Eagle** (APT-C-36) já utiliza arquivos LNK como vetores de infecção contra alvos colombianos e equatorianos, demonstrando que essa TTP se propaga entre grupos APT que visam diferentes regioes. Organizacoes brasileiras de defesa e inteligência devem considerar iscos contextualizados para suas comunidades como vetor de risco crescente. ## Mitigação e Detecção - **Bloquear execução de arquivos LNK de fontes externas** via Group Policy e WDAC - **Monitoramento de PowerShell sem arquivo em disco** - alerta para scripts PS executados em memoria - **Restricao de acesso de aplicativos do sistema** (powershell.exe) a servicos cloud como Dropbox/pCloud - **EDR com detecção de injecao de processo fileless** para identificar RokRAT em execução - **Análise de comportamento de rede**: Acessos periodicos automatizados ao Dropbox/Yandex sao indicadores - Aplicar [[m1049-antivirus-endpoint-protection]], [[m1031-network-intrusion-prevention]] e [[m1038-execution-prevention]] ## Referências - [Zscaler ThreatLabz - Hankook Phantom Analysis (Ago 2025)](https://www.zscaler.com/blogs/security-research/apt37-hankook-phantom) - [MITRE ATT&CK - APT37 (G0067)](https://attack.mitre.org/groups/G0067/) - [MITRE ATT&CK - RokRAT (S0240)](https://attack.mitre.org/software/S0240/)