رُصدت مجموعة APT37 الكورية الشمالية، المعروفة بـ ScarCruft، وهي تستغل فيسبوك في حملة تجسس جديدة. الأسلوب بسيط إلى حد مقلق: طلب صداقة عادي، محادثة تبدو بريئة، ثم برنامج تجسس.
وثّق مركز جينيانز للأمن السيبراني التفاصيل. المهاجمون استخدموا حسابين مضبوطَي الموقع على مدن كورية شمالية، لتحديد الأهداف وغربلتها. بعد كسب الثقة عبر فيسبوك، تنتقل المحادثة إلى ماسنجر، ويبدأ الاستدراج.
الحيلة المحورية هي التظاهر: يُقنَع الضحية بتثبيت برنامج لفتح ملفات PDF مشفرة ذات طابع عسكري. لكن البرنامج، وهو نسخة معدّلة من Wondershare PDFelement، يحمل كوداً مخفياً يمنح المهاجمين وصولاً كاملاً للجهاز فور تشغيله.
اللافت هو اختيار البنية التحتية. بدل خوادم مجهولة، اخترق المهاجمون موقع فرع سيول لخدمة عقارية يابانية وحوّلوه إلى نقطة تحكم. وRokRAT نفسه يأتي مخبّأً داخل صورة JPG تبدو عادية تماماً.
ثلاث طبقات تمويه في هجوم واحد: برنامج شرعي مخترق، وموقع حقيقي مسرَّب، وبرمجية خبيثة مخبّأة في صورة. كل خطوة مصممة لتبدو طبيعية.
كشفت شركة الأمن السيبراني الكورية الجنوبية عن تسلسل الهجوم بالتفصيل. المهاجمون أنشأوا حسابَين على فيسبوك، "richardmichael0828" و "johnsonsophia0414"، في اليوم نفسه: 10 نوفمبر 2025. بعد كسب الثقة، تنتقل المحادثة إلى تيليجرام ويصل ملف مضغوط يبدو عادياً: نسخة ملوّثة من Wondershare PDFelement، وأربعة ملفات PDF، وملف نصي بتعليمات التثبيت.
لحظة تشغيل المثبِّت، ينفّذ كوداً مشفراً خفياً يتصل بخادم التحكم "japanroom[.]com" ويسحب الحمولة الثانية، صورة JPG تحمل اسماً عشوائياً وبداخلها RokRAT.
البرمجية تختبئ خلف Zoho WorkDrive كخادم تحكم، وهو الأسلوب ذاته الذي وثّقته Escalier ThreatLabs في فبراير 2026 تحت اسم Ruby Jumper. من هناك تمتد قدراتها: لقطات شاشة، وتنفيذ أوامر عبر cmd.exe، وجمع بيانات الجهاز، والتهرب من Qihoo 360 Total Security، وإخفاء حركة المرور الضارة.
RokRAT ليس برمجية تتجدد، بل برمجية تتكيّف. وظائفها الجوهرية ثابتة منذ سنوات، لكن الجهد الحقيقي يذهب دائماً إلى تطوير طريقة الوصول والتهرب. في كل حملة نفس الأداة، لكن بباب خلفي جديد.