Hackerii nord-coreeni, grupul cunoscut sub numele de APT37, au lansat o campanie cibernetică extrem de sofisticată, capabilă să pătrundă în cele mai bine protejate rețele, inclusiv cele izolate, considerate timp de mulți experți drept ultimele bastioane ale securității digitale. Denumită Ruby Jumper, această operațiune demonstrează o escaladare remarcabilă din partea statului nord-coreean în domeniul spionajului cibernetic, folosind tehnologii inovatoare pentru a trece peste obstacolele fizice și digitale ale mediilor închise.
O nouă armă în arsenalul grupului APT37
De-a lungul anilor, APT37 s-a remarcat prin atacuri vizând entități guvernamentale, militare și organizații de apărare din Asia și nu numai, însă campania Ruby Jumper reprezintă o îmbunătățire semnificativă a metodologiei de operare. Grupul a introdus un set de cinci instrumente malware necunoscute anterior, toate concepute pentru a compromite rețele neutrope, fără conexiune la internet, utilizând un lanț complex de atacuri în mai multe etape. Analiștii de la Zscaler ThreatLabz au identificat această campanie în decembrie 2025, constatând cum APT37 a construit un mecanism subtil și eficient pentru a controla și monitoriza sisteme extrem de greu de accesat.
Cineva ar putea crede că medii izolate, denumite și air-gapped, sunt impenetrabile, însă aceste noi instrumente demonstrează contrariul. Timp de ani, aceste sisteme au fost privite drept ultimele redute ale securității, însă Ruby Jumper le pune în pericol printr-o tehnică subtilă, deosebit de inteligență, ce folosește suporturi de stocare mobile pentru a trece date între rețelele conectate și cele complet izolate. În plus, atacul începe printr-un fișier shortcut rău intenționat, care, odată deschis, declanșează un lanț de vectori de atac în fundal, fără ca victima să fie conștientă de pericol.
Metoda Scarlet: de la fișier de scurtătură la supraveghere globală
Campania Ruby Jumper folosește în mod strategic tehnica de livrare a malware-ului prin fișiere LNK, combinată cu un arsenal de instrumente dezvoltate explicit pentru această operațiune. În primul pas, victimelor li se oferă un document despre conflictul palestiniano-israelian, tradus din mass-media nord-coreeană în limba arabă, o mișcare menită să atragă atenția și să inducă în eroare. La deschiderea fișierului, sistemul victimei devine parte a unui lanț de amenințări, ce continuă cu descărcarea și executarea unor malware care se infiltrează în cadrul rețelei, apoi se mișcă în rețelele interne, chiar și cele complet izolate.
Un element-cheie al acestei campanii este malware-ul THUMBSBD, o “capcană” ascunsă în unitățile de stocare mobile, capabilă să comunice bidirecțional între rețelele conectate la internet și cele izolate. Folosind fișiere și suporturi de stocare comune, precum usb-uri, hackers-ii pot transmite comenzi și colecta date, fără ca sistemele să fie expuse în mod direct. În plus, malware-ul VIRUSTASK înlocuiește fișiere legitime cu scurtături compromise, asigurând astfel o cale de acces pentru atacatori și în situațiile în care victimele nu au elemente de securitate pregătite pentru astfel de amenințări.
Perspective și măsuri de protecție
Pentru organizațiile și specialiștii în securitate, această campanie înseamnă un semnal de alarmă: APT37 dezvoltă și perfecționează tehnici pentru a depăși măsurile fizice și digitale de protecție, iar atașamentele de tip shortcut și suporturile externe devin cele mai mari pericole. Experții recomandă o monitorizare atentă a sarcinilor programate, în special a celor cu denumiri neobișnuite, și o verificare riguroasă a fișierelor de tip LNK, mai ales în cazul atașamentelor de email sau a celor descărcate din mediul online.
De asemenea, este esențială inspectarea riguroasă a dispozitivelor externe, precum stick-urile USB, de către personalul de securitate, dar și monitorizarea traficului de date către și dinspre soluțiile cloud utilizate pentru backup și stocare. La fel de important, se recomandă analizarea în profunzime a oricăror activități suspecte în medii izolate și verificarea constantă a punctelor de acces fizic sau activităților de transfer de date care ar putea fi exploatate de grupurile cărora le este atribuită această campanie.
Pe măsură ce tehnologia avansează, și atacurile devin mai inteligente, riscurile de penetrări devin mai greu de contracarat, iar avertismentele experților devin din ce în ce mai puternice. În contextul geopolitic și tehnologic actual, competitivitatea în domeniul ciberespionajului rămâne extrem de acerbă. APT37 a demonstrat că nu există sisteme complet imun, intervențiile trebuie să fie constante, adaptate și, mai ales, proactive. În acest sens, investigațiile și soluțiile tehnice trebuie să se alinieze din ce în ce mai mult pentru a ține pasul cu inovațiile în materie de atacuri cibernetice.
