RokRat hiányzó láncszeme
Észak-Korea régóta támadja déli szomszédját, különösen a ma is tartó kiberhadviselés révén. A CheckPoint kutatói a megfigyelt tevékenységek egy csoportját írják le, amely a ROKRAT-ot alkalmazza, egy olyan eszközt, amelyet korábban egy észak-koreai fenyegetés szereplőjének tulajdonítottak, általában APT37-nek, Inky Squidnek, RedEyes-nek, Reapernek vagy ScarCruftnak neveztek.
A korábbi években a ROKRAT fertőzési láncok rendszerint egy rosszindulatú Hangul Word Processor (HWP, Dél-Koreában népszerű dokumentumformátum) dokumentumot tartalmaztak exploittal, vagy egy Microsoft Word dokumentumot makróval. Míg egyes ROKRAT minták még mindig használják ezeket a technikákat, most a kutatók megfigyelték, hogy a ROKRAT valós dokumentumnak álcázott LNK fájlokat használ. Ez nem kizárólagos a ROKRAT esetében, hanem egy nagyobb trendet képvisel, amely 2022-ben nagyon népszerűvé vált.
A CheckPoint ismerteti az APT37 által a közelmúltban támadásai során használt különféle fertőzési láncokat és csalikat, valamint a ROKRAT és az Amadey kártékony elemeit.