¿Espionaje a través de la papelera? APT37 utilizó $RECYCLE.BIN como canal de comunicación con Pyongyang
Lo que para los usuarios es basura digital, para los cibercriminales es un túnel oculto.
La agrupación APT37, vinculada con Corea del Norte, amplió su conjunto de herramientas para ataques contra redes aisladas. El equipo Zscaler ThreatLabz identificó una nueva campaña llamada Ruby Jumper, en la que los atacantes combinaron servicios en la nube e infección de medios extraíbles para alcanzar sistemas sin conexión directa a Internet.
APT37, también conocida como ScarCruft y Velvet Chollima, inició una cadena de infección mediante archivos LNK maliciosos. Al abrir el acceso directo, PowerShell extrae componentes integrados, entre ellos un señuelo en forma de artículo sobre el conflicto entre Palestina e Israel en árabe, además de cargadores y shellcode. El resultado final de la primera fase es la ejecución del implante RESTLEAF.
RESTLEAF usa Zoho WorkDrive para comunicarse con la infraestructura de mando y control. El malware obtiene un token de acceso mediante credenciales integradas y descarga código adicional, que inyecta en un proceso legítimo del sistema. Tras su ejecución, RESTLEAF crea en el disco en la nube archivos centinela especiales que señalan la infección.
La siguiente fase es SNAKEDROPPER. El cargador despliega en el directorio ProgramData un entorno completo de Ruby 3.3.0, enmascarando el intérprete como la utilidad usbspeed.exe. Luego SNAKEDROPPER sustituye el archivo Ruby del sistema operating_system.rb y añade tareas al programador de Windows, logrando la ejecución periódica del código malicioso cada cinco minutos. A través de ese entorno se activan dos módulos clave: THUMBSBD y VIRUSTASK.
THUMBSBD se encarga del intercambio de datos entre máquinas conectadas a Internet y segmentos aislados. El malware recopila información del sistema, procesos, configuración de red y estructura de archivos, cifra los datos con un XOR simple y guarda los resultados en directorios de trabajo. Al conectar una memoria USB, THUMBSBD crea una carpeta oculta $RECYCLE.BIN, copia allí comandos o archivos preparados para el envío y así transforma el dispositivo USB en un canal de mando y control bidireccional.
VIRUSTASK facilita la propagación dentro del aislamiento de red. El módulo verifica el espacio libre en el medio, crea un directorio oculto $RECYCLE.BIN.USER y sustituye los archivos del usuario por accesos directos con los mismos nombres. Al abrir uno de esos accesos directos, se ejecuta un intérprete Ruby falso que ejecuta shellcode e infecta el equipo nuevo.
Posteriormente, THUMBSBD entrega la puerta trasera FOOTWINE, disfrazada como un archivo con extensión APK. El componente admite registro de teclas, captura de pantalla, grabación de audio y vídeo, además de la ejecución de comandos y la manipulación de archivos. Para cifrar el tráfico, FOOTWINE emplea un mecanismo propio de intercambio de claves basado en XOR. En la cadena también participa el conocido BLUELIGHT, que utiliza Google Drive, Microsoft OneDrive y otros servicios en la nube para su gestión.
Los analistas de Zscaler relacionan Ruby Jumper con APT37 por un conjunto de indicadores: la característica carga en dos fases del shellcode, el uso de BLUELIGHT y la explotación activa de plataformas en la nube. La campaña demuestra que la agrupación norcoreana desarrolla de manera deliberada herramientas para eludir el aislamiento de red y apuesta por los soportes físicos como un canal de mando y control completo.