Grupo APT37 visa sistemas isolados da rede

O grupo APT37, associado à Coreia do Norte, foi identificado numa campanha recente direcionada a sistemas air-gapped, segundo a Zscaler. A operação, descoberta em dezembro de 2025 e designada Ruby Jumper, envolveu cinco novas ferramentas maliciosas e técnicas para contornar o isolamento de rede.

Também conhecido como ScarCruft, Ruby Sleet e Velvet Chollima, o APT37 está ativo desde 2012, focando-se sobretudo em roubo de dados e vigilância, com alvos maioritariamente na Coreia do Sul.

Na campanha mais recente, o grupo utilizou ficheiros LNK para executar um script PowerShell responsável pela instalação de múltiplos payloads. Entre estes encontrava-se um documento isco, em árabe, relacionado com o conflito Palestina-Israel.

A cadeia de infeção culmina na execução em memória de um payload designado RestLeaf, que utiliza o serviço Cloud Zoho WorkDrive para comunicação de comando e controlo (C&C). O malware tenta obter um ficheiro com shellcode, que funciona como launcher para um segundo estágio cifrado.

Esse segundo estágio carrega um executável Windows incorporado, identificado como SnakeDropper. O malware cria uma diretoria de trabalho, instala o ambiente Ruby 3.3.0 disfarçado de utilitário de monitorização de velocidade USB, compromete o interpretador Ruby e cria uma tarefa agendada para garantir persistência, executando-se a cada cinco minutos.

Sempre que o interpretador Ruby é iniciado, o SnakeDropper instala o ThumbsBD, um backdoor concebido para exfiltrar dados de sistemas air-gapped através de dispositivos amovíveis. O malware utiliza drives USB como canais bidirecionais para transporte de comandos e dados.

Quando deteta um dispositivo USB, o ThumbsBD cria uma diretoria oculta na raiz da drive para armazenar comandos e preparar a exfiltração de informação. A ferramenta recolhe ainda dados do sistema, descarrega payloads adicionais e executa shellcode a partir de diretórios específicos.

A Zscaler observou igualmente o SnakeDropper a instalar o VirusTask, uma ferramenta de propagação via media removível destinada a comprometer sistemas isolados. O VirusTask copia executáveis maliciosos para a raiz da drive USB e substitui ficheiros legítimos por atalhos LNK, que executam shellcode quando abertos pelo utilizador.

Segundo a Zscaler, o VirusTask complementa o ThumbsBD ao assegurar a propagação do malware através de engenharia social, enquanto o ThumbsBD mantém a comunicação C&C e a exfiltração de dados.

Foi ainda identificado um componente adicional, denominado FootWine, distribuído sob a forma de pacote Android cifrado. Este inclui um launcher de shellcode com capacidades de vigilância, como registo de teclas, captura de áudio e vídeo, manipulação de ficheiros, gestão de shell e interação com processos e registo do sistema.

A empresa de segurança alerta que o recurso a dispositivos amovíveis permite contornar mecanismos tradicionais de isolamento de rede. Como medida de mitigação, recomenda monitorização reforçada da atividade em endpoint e controlo rigoroso de acessos físicos, sublinhando que campanhas deste tipo continuam a explorar fragilidades operacionais em ambientes considerados isolados.