קבוצת ההאקרים APT37 הידועה גם בשם RedEyes או ScarCruft, היא קבוצת האקרים לריגול סייבר הנתמכת ככל הנראה על ידי הממשל בצפון קוריאה. הקבוצה משתמשת בנוזקה חדשה וחמקמקה בשם M2RAT ובסטגנוגרפיה, כדי למקד אנשים לאיסוף מודיעין. בשנת 2022 ניצלה הקבוצה חולשת אבטחה אפס ימים ב- Internet Explorer והפיצה דרכה באופן ממוקד מגוון נוזקות נגד ישויות ויחידים.
בדו"ח חדש שפורסם על ידי AhnLab Security Emergency Response Center (ASEC), מסבירים החוקרים כיצד משתמשת כעת קבוצת APT37 בזן הנוזקות החדש המשתמש במקטע זיכרון משותף לפקודות וחילוץ נתונים ומשאיר מעט מאוד עקבות תפעוליים על המכונה הנגועה. ההתקפות האחרונות שנצפו על ידי ASEC החלו בינואר 2023, כאשר קבוצת הפריצה שלחה מיילים לדיוג המכילים קובץ מצורף זדוני למטרותיהם. פתיחת הקובץ המצורף מפעילה ניצול של פגיעות EPS ישנה במעבד התמלילים Hangul הנפוץ בדרום קוריאה. הניצול גורם ל- Shellcode לפעול במחשב של הקורבן, אשר מוריד ומבצע קוד זדוני המאוחסן בתמונת JPG. קובץ תמונת JPG זה משתמש בסטגנוגרפיה – טכניקה המאפשרת הסתרת קוד בתוך קבצים במטרה לטעון בגניבה את קובץ ההפעלה (lskdjfei.exe) למערכת ולהחדיר אותו ל- explorer.exe. לאחר מכן מוסיפה הנוזקה ערך חדש (RyPO) במפתח הרישום "הפעלה", עם פקודות לביצוע סקריפט PowerShell באמצעות cmd.exe.
הדלת האחורית M2RAT פועלת כטרויאני גישה מרחוק בסיסי המבצע רישום הקשות מקלדת, גניבת נתונים, ביצוע פקודות וצילום מסך משולחן העבודה. פונקציית צילום המסך מופעלת מעת לעת ופועלת באופן אוטונומי ללא צורך בפקודה ספציפית של מפעילי הנוזקה. הנוזקה אוספת מידע מהמכשיר הנגוע ולאחר מכן שולחות את המידע בחזרה להאקרים לשרת C2 (שרת פיקוד ובקרה).
מעניינת במיוחד היכולת של הנוזקה לסרוק אחר מכשירים ניידים המחוברים למחשב Windows, כמו סמארטפונים או טאבלטים: במידה ומזוהה מכשיר נייד, תסרוק הנוזקה את תוכן המכשיר לאיתור מסמכים וקבצי הקלטות קוליות ואם יימצאו, תעתיק אותם למחשב האישי לצורך הפצה לשרת ה- C2. לפני ההסתננות נדחסים הנתונים הגנובים בקובץ RAR מוגן בסיסמה והעותק המקומי נמחק מהזיכרון כדי לחסל כל עקבות.
תכונה מעניינת נוספת של M2RAT היא השימוש במדור זיכרון משותף לתקשורת, חילוץ נתונים והעברה ישירה של נתונים גנובים ל- C2 מבלי לאחסן אותם במערכת שנפגעה. שימוש בזיכרון המארח עבור הפונקציות שלעיל ממזער את התעבורה עם שרת ה- C2 ומקשה על ניתוח מתקפת הסייבר, שכן חוקרי אבטחת מידע צריכים לנתח את הזיכרון של מכשירים נגועים כדי לאחזר את הפקודות והנתונים המשמשים את הנוזקה.
