Thought Leadership
Die nordkoreanische Hackergruppe APT37 nutzt Facebook-Profile für gezieltes Social Engineering. Wie Angreifer über manipulierte PDF-Software vollen Zugriff auf Nutzerdaten erlangen und welche Spionagetaktiken aktuell im Einsatz sind.
Die Welt der Cyberspionage verlagert sich zunehmend auf eine persönliche Ebene. The Hacker News schreibt über Berichte des Genians Security Center (GSC), nach denen die nordkoreanische Hackergruppe APT37, in Fachkreisen auch als ScarCruft oder Ricochet Chollima bekannt, ihre Taktiken verfeinert hat. Anstatt sich ausschließlich auf klassische Phishing-E-Mails zu verlassen, nutzen die Angreifer nun soziale Netzwerke wie Facebook, um direkten Kontakt zu ihren Zielpersonen aufzunehmen.
Im Zentrum der jüngsten Kampagne steht das sogenannte Social Engineering. Die Angreifer erstellten gefälschte Profile auf Facebook, die als richardmichael0828 und johnsonsophia0414 identifiziert wurden. Beide Accounts wurden am 10. November 2025 angelegt und gaben Standorte in Nordkorea, konkret Pjöngjang und Pyongsong, an. Ziel dieser Konten war es, potenzielle Opfer zu identifizieren und durch Freundschaftsanfragen eine erste Vertrauensbasis zu schaffen. Sobald das Opfer die Anfrage annahm, wurde die Kommunikation auf den Facebook Messenger und später auf verschlüsselte Dienste wie Telegram verlagert.
Täuschung durch militärische Dokumente
Um den eigentlichen Angriff auf Facebook einzuleiten, griffen die Akteure von APT37 auf ein präzise ausgearbeitetes Pretexting-Szenario zurück. Den Zielpersonen wurde suggeriert, sie müssten Zugriff auf verschlüsselte militärische Dokumente erhalten. Zur Ansicht dieser hochsensiblen Dateien sei jedoch eine spezielle Version eines PDF-Betrachters notwendig. Den Opfern wurde ein ZIP-Archiv übermittelt, das eine manipulierte Version der legitimen Software Wondershare PDFelement enthielt.
In diesem Archiv befanden sich neben dem präparierten Installationsprogramm auch vier PDF-Dokumente und eine Textdatei mit detaillierten Installationsanweisungen. Sobald ein Nutzer die trojanisierte Software ausführte, startete im Hintergrund die Infektionskette. Ein eingebetteter Shellcode verschaffte den Angreifern einen ersten Zugang zum System, während der Nutzer glaubte, lediglich ein nützliches Programm zur Dokumentenverwaltung zu installieren. Diese Methode nutzt das Vertrauen in bekannte Softwaremarken aus, um Sicherheitsmechanismen zu umgehen.
Technische Raffinesse hinter harmlosen Bildern
Ein besonderes Merkmal dieser Kampagne ist die Nutzung legitimer, aber kompromittierter Infrastrukturen für die Steuerung der Schadsoftware. Die Angreifer missbrauchten die Webseite einer japanischen Immobilienfirma in Seoul als Command-and-Control-Server (C2). Über diese Verbindung wurde ein zweistufiger Prozess eingeleitet.
Um Entdeckung auf Facebook zu vermeiden, tarnten die Hacker den Download des eigentlichen Schadcodes als harmloses JPG-Bild mit der Bezeichnung 1288247428101.jpg. Diese Strategie der Dateierweiterungs-Maskierung erschwert es Sicherheitsprogrammen, bösartige Aktivitäten rechtzeitig zu erkennen. Hinter der vermeintlichen Bilddatei verbarg sich jedoch der finale Payload: der Fernzugriffstrojaner RokRAT. Das Genians Security Center kommentierte diese Vorgehensweise wie folgt:
„Die Kernfunktionalität von RokRAT ist über die Zeit hinweg relativ stabil geblieben und wurde wiederholt in mehreren Operationen eingesetzt. Dies zeigt, dass sich RokRAT weniger auf die Änderung seiner Kernfunktionen konzentriert hat, sondern vielmehr auf die Weiterentwicklung seiner Bereitstellungs-, Ausführungs- und Umgehungskette.“
RokRAT: Ein bewährtes Werkzeug der Spionage
RokRAT ist für die Sicherheitsforschung kein Unbekannter. Die Schadsoftware ist darauf ausgelegt, umfassende Kontrolle über ein infiziertes System zu erlangen. Zu den Funktionen gehören das Erstellen von Screenshots, das Ausführen von Fernbefehlen über die Eingabeaufforderung (cmd.exe), das Sammeln von Systeminformationen sowie die Aufklärung der gesamten Netzwerkumgebung.
In der aktuellen Kampagne missbraucht die Malware zudem den Cloud-Dienst Zoho WorkDrive als Infrastruktur für die Befehlsübermittlung und den Datendiebstahl. Dieser Ansatz, legitime Cloud-Dienste für bösartige Zwecke zu nutzen, erschwert die Unterscheidung zwischen normalem Netzwerkverkehr und Spionageaktivitäten erheblich. RokRAT ist zudem in der Lage, gängige Sicherheitsprogramme wie 360 Total Security gezielt zu umgehen oder deren Erkennungsmuster zu unterlaufen.
Facebook-Falle im Einklang mit Interessen von Nordkorea
Die Aktivitäten von APT37 stehen im Einklang mit den strategischen Interessen des nordkoreanischen Staates. Die Gruppe, die vermutlich dem Generalbüro für Aufklärung (RGB) untersteht, konzentriert sich primär auf die Überwachung von Regierungsstellen, Militäreinrichtungen, Verteidigungsunternehmen und Dissidenten. Erst im Februar 2026 berichteten Forscher von Zscaler über eine Kampagne namens Ruby Jumper, die ebenfalls APT37 zugeschrieben wurde. Dabei kamen USB-Laufwerke zum Einsatz, um isolierte Netzwerke (Air-Gapped Systems) zu infiltrieren.
Die Kombination aus technischer Finesse und psychologischer Manipulation macht Gruppen wie APT37 zu einer dauerhaften Gefahr. Experten raten dazu, Freundschaftsanfragen von unbekannten Personen in sozialen Medien kritisch zu hinterfragen und niemals Software aus nicht verifizierten Quellen zu installieren, selbst wenn diese im Rahmen einer scheinbar vertrauenswürdigen Konversation empfohlen wird. Nutzer, die befürchten, mit den genannten Konten oder Programmen interagiert zu haben, sollten alle aktiven Sitzungen in Messengern beenden und ihre Systeme mit aktueller Sicherheitssoftware prüfen.
