# APT37 > [!info] Perfil do Grupo > **APT37** (ScarCruft / InkySquid / Ricochet Chollima) é uma unidade de espionagem cibernetica norte-coreana ativa desde 2012, operando em nome do **Ministério da Segurança do Estado (MSS) da DPRK**. Diferente do [[g0032-lazarus-group|Lazarus Group]] (motivação financeira), o APT37 foca exclusivamente em **coleta de inteligência estratégica** contra dissidentes, governos e setores de defesa. Em 2025, o grupo adicionou ao arsenal campanhas de **exfiltração via USB para ambientes air-gapped** e spyware Android (KoSpy) para vigilância de alvos moveis. ## Visão Geral **APT37** é atribuído ao **Ministério da Segurança do Estado da Coreia do Norte (MSS)**, diferenciando-o do Lazarus Group (RGB). O grupo foca em coleta de inteligência politica e estratégica, não em operações financeiras. Seus alvos primarios incluem dissidentes norte-coreanos, jornalistas que cobrem a DPRK, funcionarios governamentais sul-coreanos e profissionais de defesa. **Visão geral:** - Ativo desde: **2012** com operações documentadas contra alvos sul-coreanos - Motivação: **espionagem politica e estratégica** - vigilância de dissidentes e coleta de inteligência governamental - Foco primario: Coreia do Sul, mas com alcance global crescente (13+ países confirmados) - Especialidade única: **RokRAT** - malware cloud-based usando Dropbox/OneDrive/Yandex como C2 - Evolução 2024-2025: campanhas via **arquivos LNK** e USB para air-gap bridging - Novidade 2025: **KoSpy** - spyware Android para vigilância de alvos moveis **Características operacionais:** - Uso extensivo de **esteganografia** para ocultar malware em imagens e documentos - Preferência por serviços de nuvem legitimos como infraestrutura C2 (Dropbox, Yandex, Zoho) - Lures altamente customizados em coreano sobre temas politicos sensíveis (sancões, reunificação) - Arsenal em constante renovação com novos implantes a cada campanha ## Campanhas Documentadas ### Operation HanKook Phantom - 2025 Campanha de espionagem contra entidades governamentais e de defesa da Coreia do Sul. Utilização de arquivos LNK maliciosos distribuídos via spearphishing, que ao serem executados carregam o payload **RokRAT** com C2 via Zoho WorkDrive - um abuso incomum de plataforma legítima de colaboração corporativa. **Ferramentas de fase inicial:** - **SnakeDropper**: dropper PowerShell que decodifica e executa RokRAT da memória - **Restleaf**: loader que carrega shellcode de arquivos de imagem via esteganografia - **VirusTask**: persistência via Scheduled Task disfarçado de tarefa de antivírus ### Ruby Jumper USB Campaign - Dezembro 2025 Campanha para comprometimento de ambientes **air-gapped** via dispositivos USB. O malware **ThumbSBD** é instalado em pendrives, se propaga para máquinas sem conexão de rede, e usa técnicas de **esteganografia em arquivos de imagem** para exfiltrar dados de volta ao operador quando o dispositivo USB é conectado a uma máquina com internet. ### Operation Daybreak / FreeMilk - 2016 a 2018 Serie de campanhas usando exploits zero-day em Adobe Flash (CVE-2016-4117, CVE-2016-1010) e Internet Explorer para comprometer ativistas e jornalistas que cobrem assuntos norte-coreanos. "FreeMilk" usou documentos de Word para comprometer parceiros de negócios de alvos sul-coreanos. ### KoSpy Android Spyware - 2022 a 2024 Spyware Android disfarçado de aplicativos utilitarios distribuídos em variante do Google Play e via links diretos. Capacidades: gravação de chamadas, SMS, localização GPS, captura de fotos pela câmera, keylogging e exfiltração via Firebase Firestore. ## Arsenal | Ferramenta | Tipo | Função | |-----------|------|--------| | [[s0240-rokrat\|ROKRAT]] | RAT cloud | C2 via Dropbox/OneDrive/Yandex - opera sem servidor dedicado | | [[s0657-bluelight\|BLUELIGHT]] | RAT | Backdoor secundario pós-comprometimento com C2 via API de serviços web | | [[s0212-coraldeck\|CORALDECK]] | Exfiltração | Coleta e exfiltração de arquivos específicos para C2 cloud | | [[s0215-karae\|KARAE]] | Backdoor | Implante inicial com persistência por Scheduled Task | | [[s0217-shutterspeed\|SHUTTERSPEED]] | Backdoor | Downloader e execução de payloads adicionais | | [[s0216-pooraim\|POORAIM]] | Backdoor | Comúnicação C2 via serviços de mensagens instantâneas | | [[s0218-slowdrift\|SLOWDRIFT]] | Backdoor | Acesso remoto com coleta de informações do sistema | | [[s0154-cobalt-strike\|Cobalt Strike]] | Framework C2 | Pós-exploração e movimento lateral em alvos de alto valor | | SnakeDropper | Dropper PowerShell | Decodifica e executa RokRAT da memória (2025) | | ThumbSBD | USB malware | Air-gap bridging via esteganografia em imagens (2025) | ## Attack Flow - Campanha LNK/RokRAT 2025 ```mermaid graph TB A["🎣 Spearphishing<br/>Arquivo LNK malicioso<br/>Tema político coreano"] --> B["💥 Execução<br/>T1204.002 Malicious File<br/>LNK → PowerShell"] B --> C["🐚 SnakeDropper<br/>Decodifica RokRAT<br/>Carrega da memória"] C --> D["☁️ C2 Cloud<br/>ROKRAT via Zoho WorkDrive<br/>T1102 Web Service"] D --> E["🕵️ Reconhecimento<br/>Sistema, processos<br/>T1082 - T1033"] E --> F["🖼️ Esteganografia<br/>Dados ocultos em imagens<br/>T1027.003"] F --> G["📤 Exfiltração<br/>CORALDECK/ROKRAT<br/>Arquivos para cloud C2"] ``` ## Timeline do Grupo ```mermaid timeline title APT37 - Linha do Tempo 2012 : Operações iniciais contra Coreia do Sul : Foco em dissidentes e governo 2016 : Operation Daybreak - exploits Flash zero-day : Operation FreeMilk contra parceiros comerciais 2018 : Evil New Year campaigns : Expansão para alvos globais 2019 : Novos implantes BLUELIGHT e CORALDECK : Uso de serviços cloud como C2 2022 : KoSpy Android spyware documentado : Alvos moveis em foco 2025 : Operation HanKook Phantom : Ruby Jumper USB air-gap campaign : SnakeDropper e Zoho C2 2026 : Monitoramento contínuo pela AhnLab ``` ## TTPs Principais | Tática | Técnica | ID | Descrição | |--------|---------|-----|-----------| | Execution | Malicious File | [[t1204-002-malicious-file\|T1204.002]] | Arquivos LNK que acionam cadeia de execução PowerShell | | Persistence | Registry Run Keys | [[t1547-001-registry-run-keys-startup-folder\|T1547.001]] | Persistência via chaves de registro Run | | Defense Evasion | Steganography | [[t1027-003-steganography\|T1027.003]] | Dados ocultos em arquivos de imagem para C2 e exfiltração | | C2 | Bidirectional Commúnication | [[t1102-002-bidirectional-communication\|T1102.002]] | C2 via serviços legitimos (Dropbox, Yandex, Zoho) | | Discovery | Peripheral Device Discovery | [[t1120-peripheral-device-discovery\|T1120]] | Enumeração de dispositivos USB para campanha Ruby Jumper | | Credential Access | Credentials from Web Browsers | [[t1555-003-credentials-from-web-browsers\|T1555.003]] | Roubo de senhas salvas em navegadores | | Defense Evasion | Bypass UAC | [[t1548-002-bypass-user-account-control\|T1548.002]] | Escalação de privilégios para instalação de implantes | | Defense Evasion | Obfuscated Files | [[t1027-obfuscated-files-or-information\|T1027]] | Ofuscação de payloads para evasão de antivírus | ## Relevância para o Brasil e LATAM > [!info] Risco Moderado - Alvos Específicos > O APT37 opera com motivação de **espionagem politica**, não financeira. O risco para o Brasil é moderado mas específico: organizações com conexões diplomaticas com a Coreia do Sul, pesquisadores de segurança que estudam a DPRK, jornalistas cobrindo regimes autoritarios e entidades governamentais com acesso a informações geopoliticas sensiveis são os perfis de maior risco. **Perfis de risco no Brasil:** - **Pesquisadores e jornalistas** que cobrem assuntos da Coreia do Norte e regimes autoritarios - **Diplomatas e funcionarios governamentais** em missões relacionadas a Asias - **Universidades com programas de estudos asiaticos** com pesquisadores conectados a dissidentes norte-coreanos - **Empresas de tecnologia com parceiros sul-coreanos** (Samsung, LG, Hyundai subsidiarias no Brasil) como vetores de island-hopping **Indicadores de comprometimento:** - Arquivos LNK em emails de spearphishing sobre temas geopoliticos asiaticos - Conexões de saída para APIs do Dropbox/Yandex/Zoho por processos não esperados - Processos PowerShell executando scripts codificados em Base64 em segundo plano - Dispositivos USB conectados que acessam volumes de arquivos incomuns automaticamente ## Detecção **Regras comportamentais:** - Processo filho de `explorer.exe` ou `winword.exe` lançando `powershell.exe -enc [base64]` - Comúnicação de `powershell.exe` para APIs do Dropbox (`api.dropboxapi.com`) ou Yandex - Arquivos LNK em locais temporarios com targets apontando para `%TEMP%` ou `AppData` - Acesso a `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` por processos de Office - Processos de sistema lendo volumes USB repetidamente em busca de arquivos de imagem **Ferramentas de caça a ameaças:** - Yara rules para detecção de ROKRAT e BLUELIGHT (disponíveis no GitHub da AhnLab) - Sigma rules para PowerShell encoded commands + comunicação cloud suspeita - Monitoramento de DNS para `api.dropboxapi.com`, `yandex.ru/disk/api` em contextos suspeitos ## Referências - [1](https://www.ahnlab.com/en/site/securityinfo/asec/asecBoard.do) AhnLab ASEC - Operation HanKook Phantom Analysis (2025) - [2](https://attack.mitre.org/groups/G0067) MITRE ATT&CK - APT37 (G0067) - [3](https://www.welivesecurity.com/en/eset-research/apt37/) ESET WeLiveSecurity - APT37 Research Archive - [4](https://cloud.google.com/blog/topics/threat-intelligence/apt37-naikon-scarcruft) Google Mandiant - APT37 Profile (2022) - [5](https://securelist.com/scarcruft-surveilling-north-korean-defectors/105194/) Kaspersky Securelist - ScarCruft Surveilling Defectors (2022) **Atores relacionados:** [[g0032-lazarus-group|Lazarus Group]] · [[g0082-apt38|APT38]] · [[g0094-kimsuky|Kimsuky]] **Campanhas:** [[operation-hankook-phantom|Operation HanKook Phantom]] · [[operation-daybreak|Operation Daybreak]] **Malware e ferramentas:** [[s0240-rokrat|ROKRAT]] · [[s0657-bluelight|BLUELIGHT]] · [[s0212-coraldeck|CORALDECK]] · [[s0154-cobalt-strike|Cobalt Strike]] **TTPs principais:** [[t1204-002-malicious-file|T1204.002]] · [[t1027-003-steganography|T1027.003]] · [[t1102-002-bidirectional-communication|T1102.002]] · [[t1120-peripheral-device-discovery|T1120]] **Setores alvejados:** [[government|Governo]] · [[defense|Defesa]] · [[technology|Tecnologia]] · [[telecommunications|Telecomúnicações]]