# Ruby Jumper Campaign > [!high] APT37 Desenvolve Capacidade de Saltar Air-Gaps via USB > A campanha **Ruby Jumper** foi documentada pela Zscaler em dezembro de 2025, revelando que o **APT37** (ScarCruft) desenvolveu cinco novas ferramentas específicamente projetadas para **transitar redes air-gapped via USB**. A campanha visou alvos de lingua arabe e sul-coreanos em organizacoes com redes isoladas fisicamente, representando uma escalada significativa nas capacidades técnicas do grupo. ## Visão Geral A Ruby Jumper Campaign marca uma evolução significativa no arsenal tecnico do [[g0067-apt37]] - o grupo de espionagem da Coreia do Norte historicamente focado em alvos sul-coreanos. A campanha, documentada pela Zscaler ThreatLabz em dezembro de 2025, revelou cinco novas ferramentas de malware específicamente desenvolvidas para comprometer sistemas em redes air-gapped (sem conexão com a internet) usando drives USB como vetor de transmissao. Redes air-gapped sao empregadas pelas organizacoes de maior sensibilidade - instalacoes militares, laboratorios de pesquisa classificada, infraestrutura critica industrial - exatamente por sua capacidade de isolar sistemas de ataques remotos. O desenvolvimento de capacidades USB bridge pelo APT37 demonstra uma escalada de ambicao operacional do grupo, que historicamente se concentrava em alvos conectados via spear-phishing. As cinco novas ferramentas identificadas tem funções especializadas e complementares: - **RESTLEAF**: Componente de persistência que monitora insercao de USBs e copia malware para unidades inseridas - **SNAKEDROPPER**: Dropper que deposita payloads quando um USB comprometido e inserido em novo sistema - **THUMBSBD**: Backdoor leve instalado em sistemas air-gapped via USB, comúnicando-se via arquivos em USB - **VIRUSTASK**: Ferramenta de reconhecimento e enumeracao de arquivos em redes air-gapped - **FOOTWINE**: Componente de exfiltração que coleta dados de sistemas isolados para o USB para retrieval posterior O C2 para sistemas conectados utiliza o Zoho WorkDrive como plataforma de armazenamento, misturando comúnicacoes com trafego legitimo de servicos cloud corporativos - técnica similar a usada na Operation Hankook Phantom com Dropbox/pCloud. Os alvos identificados incluem organizacoes de lingua arabe (possível foco em Oriente Medio) e entidades sul-coreanas, sugerindo que o APT37 esta expandindo seu alcance geografico alem do foco historico na Peninsula Coreana. ## Attack Flow ```mermaid graph TB A["📧 Infecção Inicial<br/>Spear-phishing em rede<br/>conectada da organização"] --> B["💧 RESTLEAF Instalado<br/>Monitora insercao USB<br/>Persistência em sistema conectado"] B --> C["🔌 USB Inserido<br/>SNAKEDROPPER copia<br/>malware para USB"] C --> D["🚶 USB Transportado<br/>Por operador interno<br/>para rede air-gapped"] D --> E["💻 USB em Sistema Air-Gapped<br/>SNAKEDROPPER executa<br/>THUMBSBD instalado"] E --> F["🔍 VIRUSTASK Reconhece<br/>Enumera arquivos e sistemas<br/>na rede air-gapped"] F --> G["📥 FOOTWINE Coleta<br/>Arquivos sensiveis copiados<br/>para USB para retirada"] G --> H["☁️ Exfiltração Final<br/>USB reconectado na rede<br/>Dados para Zoho WorkDrive"] ``` ### Cinco Novas Ferramentas APT37 ```mermaid graph TB A["Arsenal Ruby Jumper<br/>5 novas ferramentas"] --> B["RESTLEAF<br/>Persistência em sistema<br/>conectado - monitora USB"] A --> C["SNAKEDROPPER<br/>Dropper via USB<br/>Copia payload para drives"] A --> D["THUMBSBD<br/>Backdoor em sistema<br/>air-gapped via USB"] A --> E["VIRUSTASK<br/>Reconhecimento em<br/>redes isoladas"] A --> F["FOOTWINE<br/>Exfiltração de arquivos<br/>para USB - retirada fisica"] ``` ## Cronologia | Data | Evento | |------|--------| | 2025-10 | Primeiras amostras das 5 ferramentas Ruby Jumper identificadas via telemetria | | 2025-11 | Campanhas ativas contra alvos de lingua arabe identificadas | | 2025-12 | Zscaler ThreatLabz pública relatorio detalhado com atribuicao ao APT37 | | 2025-12 | Confirmacao de alvos sul-coreanos comprometidos via técnica USB bridge | ## TTPs (MITRE ATT&CK) | ID | Técnica | Uso na Campanha | |----|---------|-----------------| | [[t1566-phishing\|T1566]] | Phishing | Infecção inicial do sistema conectado para plantar RESTLEAF | | [[t1204-user-execution\|T1204]] | User Execution | Execução de documentos LNK/Office para entrega inicial | | [[t1091-replication-removable-media\|T1091]] | Replication via Removable Media | SNAKEDROPPER e RESTLEAF propagando malware via USB | | [[t1102-web-service\|T1102]] | Web Service | Zoho WorkDrive como C2 para sistemas conectados | | [[t1052-exfiltration-physical-medium\|T1052]] | Exfiltration via Physical Medium | FOOTWINE exfiltrando dados para USB para retirada fisica | | [[t1083-file-and-directory-discovery\|T1083]] | File Discovery | VIRUSTASK enumerando arquivos em redes air-gapped | ## Vitimas e Alvos O [[g0067-apt37]] demonstrou expansao de alvos para alem da Coreia do Sul: - **Organizacoes de lingua arabe**: Entidades governamentais e de pesquisa no Oriente Medio com redes air-gapped - **Setor militar sul-coreano**: Instalacoes com redes air-gapped por requisito de segurança nacional - **Laboratorios de pesquisa classificada**: Organizacoes com sistemas isolados por protocolo de segurança - **Infraestrutura critica com OT/SCADA**: Sistemas industriais isolados de redes corporativas ## Relevância LATAM O impacto direto para o Brasil e LATAM e limitado pelo foco geografico atual. No entanto: > [!latam] Contexto Brasil e LATAM > A capacidade de **transitar air-gaps via USB** desenvolvida pelo APT37 e altamente relevante para o Brasil. Instalacoes militares brasileiras, laboratorios de pesquisa nuclear (IRD/CNEN), refinarias da Petrobras e sistemas ICS/SCADA de energia eletrica utilizam redes air-gapped como controle de segurança fundamental. Grupos com motivacao para espionagem industrial ou sabotagem de infraestrutura critica brasileira podem desenvolver capacidades similares. O modelo de ataque Ruby Jumper demonstra que a promessa de proteção por air-gap tem limites concretos. ## Mitigação e Detecção - **Politica estrita de uso de USB**: Permitir apenas drives previamente aprovados e inventariados em sistemas air-gapped - **Autorun desabilitado** em todos os endpoints (politica de Group Policy) - **Monitoramento de copia de arquivos para drives removiveis** em sistemas sensíveis - **Endpoint DLP** para detectar e bloquear transferencias de dados nao-autorizadas para USB - **Separacao rigorosa de redes**: Operadores de redes air-gapped nao devem ter acesso a sistemas conectados na internet - **Inspecao de USB** antes de qualquer insercao em sistemas de alta sensibilidade (anti-malware offline) - Aplicar [[m1030-network-segmentation]] e [[m1028-operating-system-configuration]] ## Referências - [Zscaler ThreatLabz - Ruby Jumper Campaign (Dez 2025)](https://www.zscaler.com/blogs/security-research/apt37-ruby-jumper) - [MITRE ATT&CK - APT37 (G0067)](https://attack.mitre.org/groups/G0067/) - [MITRE ATT&CK - Replication Through Removable Media (T1091)](https://attack.mitre.org/techniques/T1091/)