Thought Leadership
Das Sicherheitsteam von Zscaler ThreatLabz hat aktuelle Aktivitäten der Hackergruppe APT37 untersucht. Dabei wurde erstmals eine neue Backdoor identifiziert, die auf Windows-Systeme abzielt.
Die Gruppe, auch bekannt unter den Namen ScarCruft, Ruby Sleet oder Velvet Chollima, richtet sich mit ihren Angriffen vor allem gegen südkoreanische Aktivisten mit Bezug zum nordkoreanischen Regime oder zu Menschenrechtsfragen.
Neue Infektionskette mit Rust-basierter Malware
In den jüngsten Kampagnen von APT37 beginnt die Infektion über manipulierte Windows-Verknüpfungen oder Hilfedateien. Anschließend wird eine Kette aus verschiedenen Schadprogrammen aktiviert, die über einen zentralen Command-and-Control-Server gesteuert werden. Eine Schlüsselrolle spielt dabei die Backdoor Rustonotto, die in der Programmiersprache Rust entwickelt wurde und seit Juni 2025 aktiv ist.
Rustonotto ist die erste bekannte Rust-basierte Malware, die APT37 gegen Windows einsetzt. Sie erlaubt es den Angreifern, einfache Befehle auszuführen und Ergebnisse an den Kontrollserver zurückzusenden. Trotz ihrer vergleichsweise simplen Struktur zeigt der Einsatz von Rust die Anpassungsfähigkeit der Gruppe und ihre Bestrebungen, moderne Programmiersprachen für plattformübergreifende Angriffe einzusetzen.
Nach der Erstinfektion kommt die PowerShell-basierte Malware Chinotto zum Einsatz, die wiederum den komplexen Ablauf zur Installation von FadeStealer anstößt.
Überwachung mit FadeStealer
FadeStealer, ein Spionagewerkzeug, das bereits seit 2023 bekannt ist, erweitert die Möglichkeiten der Angreifer erheblich. Es zeichnet Tastatureingaben auf, erstellt Screenshots und Tonaufnahmen, überwacht Geräte sowie Wechseldatenträger und exfiltriert Daten über verschlüsselte Archive. Für die Kommunikation mit den Steuerungsservern nutzt FadeStealer HTTP POST-Anfragen in Verbindung mit Base64-Kodierung.
Die Kombination dieser Tools erlaubt es den Angreifern, nicht nur Systeme zu kompromittieren, sondern auch umfangreiche Überwachungsmaßnahmen im Verborgenen durchzuführen.
Zielgruppe der Angriffe
Nach Erkenntnissen von Zscaler befanden sich die Opfer der aktuellen Angriffe in Südkorea. Es gibt keine Hinweise auf Verbindungen zu staatlichen Organisationen oder Unternehmen. Die eingesetzten Köderinhalte deuten darauf hin, dass sich die Attacken gegen Personen richten, die in politischen oder diplomatischen Kontexten tätig sind oder Verbindungen zum nordkoreanischen Regime haben könnten.
APT37 ist seit Jahren für seine ausgefeilten Angriffe bekannt und kombiniert Social-Engineering-Techniken mit fortschrittlicher Malware. Mit der Einführung der neuen Backdoor Rustonotto unterstreicht die Gruppe ihre Fähigkeit, Werkzeuge und Methoden stetig weiterzuentwickeln.
Die Zscaler-Plattform Zero Trust Exchange erkennt die Indikatoren dieser Angriffe und bietet Schutzmechanismen wie die Cloud-Sandbox, um Infektionen frühzeitig abzuwehren.
