Pesquisadores da empresa de segurança cibernética Zscaler identificaram, em dezembro de 2025, uma campanha de espionagem digital orquestrada pelo grupo APT37. Ele também é conhecido como ScarCruft, um coletivo de hackers com financiamento estatal da Coreia do Norte.
Batizada de Ruby Jumper, a operação utiliza um conjunto de ferramentas maliciosas até então desconhecidas para infectar computadores e para cruzar o chamado air gap.
O termo descreve um isolamento físico de redes que organizações sensíveis, como instalações militares e industriais, adotam como medida de segurança máxima. A técnica para superar essa barreira envolve o uso de pen drives como intermediários físicos.
Como o ataque chega até a vítima
O ataque começa com um arquivo .LNK, o mesmo formato dos atalhos que aparecem na área de trabalho do Windows. Quando a vítima o abre, uma sequência de ações silenciosas é disparada em segundo plano, enquanto um documento de distração aparece na tela.
A vítima vê um artigo em árabe sobre o conflito Palestina-Israel, traduzido de um jornal norte-coreano, provavelmente usado para mirar alvos com interesse no tema. No entanto, nos bastidores, o atalho extrai e executa uma série de arquivos ocultos que instalam, direto na memória do computador, o primeiro malware da cadeia: o RESTLEAF.
Nuvem legítima usada como canal de comando
O RESTLEAF se comunica com os atacantes por meio do Zoho WorkDrive, um serviço de armazenamento em nuvem comercial e legítimo, semelhante ao Google Drive.
Ao usar plataformas conhecidas e amplamente utilizadas por empresas, o tráfego malicioso se mistura ao tráfego comum de usuários, dificultando sua detecção por ferramentas de segurança. Segundo os pesquisadores da Zscaler, é a primeira vez que o APT37 é flagrado abusando especificamente do Zoho WorkDrive para esse fim.
Por meio desse canal, o RESTLEAF baixa e executa um código diretamente na memória do computador, uma técnica chamada de shellcode, sem gravar arquivos suspeitos no disco, o que reduz ainda mais as chances de detecção por antivírus tradicionais.
Instalação disfarçada de pen drive
O código baixado instala o segundo malware da cadeia, o SNAKEDROPPER, cuja principal função é preparar o ambiente para os ataques seguintes.
Para isso, ele instala no computador da vítima um interpretador completo da linguagem de programação Ruby, uma linguagem legítima, muito utilizada por desenvolvedores ao redor do mundo, e o disfarça de utilitário de monitoramento de pen drives, renomeando seus arquivos para nomes como usbspeed.exe.
Dentro desse ambiente Ruby instalado, o SNAKEDROPPER substitui um arquivo de configuração carregado automaticamente pelo interpretador por uma versão maliciosa, garantindo que os próximos malwares sejam executados toda vez que o programa iniciar.
Para completar, cria uma tarefa agendada no sistema que ativa o interpretador a cada cinco minutos, mantendo a infecção viva e persistente, mesmo após reinicializações.
A travessia do isolamento físico
O SNAKEDROPPER então, instala dois módulos complementares, o THUMBSBD e o VIRUSTASK, projetados especificamente para superar o air gap. O isolamento total de computadores que nunca se conectam à internet, adotado por organizações que lidam com informações ou infraestruturas críticas.
O THUMBSBD monitora a conexão de pen drives ao computador infectado. Quando um dispositivo é inserido, o malware cria uma pasta oculta que imita a Lixeira do Windows e copia para dentro dela dados coletados do sistema, além de aguardar comandos que possam ter chegado fisicamente pelo mesmo dispositivo.
Quando esse pen drive é levado a um computador isolado e depois retorna ao computador infectado, ele carrega consigo informações extraídas do ambiente isolado, criando um ciclo de comunicação inteiramente físico, invisível para qualquer monitoramento de rede.
O VIRUSTASK completa a dupla com a função de infectar o próprio pen drive para que ele propague o ataque a novos computadores. Ao detectar um dispositivo conectado, oculta os arquivos originais e os substitui por atalhos maliciosos com nomes idênticos. Quando a vítima conecta o pen drive em outra máquina e tenta abrir um de seus próprios arquivos um documento de trabalho, por exemplo, na prática está executando o malware.
Espionagem de áudio, vídeo e teclado
Na reta final da cadeia de infecção, o THUMBSBD entrega o payload final da campanha: o FOOTWINE. Classificado como spyware, um software de espionagem, o FOOTWINE é capaz de registrar tudo que é digitado no teclado da vítima, capturar imagens da tela, e ativar remotamente o microfone e a câmera do computador para vigilância de áudio e vídeo em tempo real.
Toda a comunicação entre o FOOTWINE e os servidores dos atacantes é cifrada com um protocolo próprio, dificultando a interceptação e análise por pesquisadores de segurança.
Paralelamente, o THUMBSBD também entrega o BLUELIGHT, um backdoor que funciona como uma porta de acesso remoto não autorizada, já documentado em campanhas anteriores do APT37. O BLUELIGHT usa serviços como Google Drive, Microsoft OneDrive e pCloud para se comunicar com os atacantes, pela mesma lógica de camuflagem adotada pelo RESTLEAF com o Zoho WorkDrive.
Contexto e alvos prováveis
O APT37 tem histórico consolidado de ataques contra indivíduos e entidades governamentais alinhadas aos interesses de vigilância do Estado norte-coreano.
O documento de isca em árabe sobre o conflito Palestina-Israel, traduzido de uma publicação da Coreia do Norte, o que sugere que os alvos desta campanha específica são pessoas ou organizações com interesse em narrativas midiáticas norte-coreanas sobre o tema, o que é coerente com o perfil histórico de vítimas do grupo.
Quer receber mais notícias de cibersegurança e tecnologia? Assine nossa newsletter e inscreva-se no canal do YouTube. Siga o TecMundo nas redes sociais.