Le groupe de hackers soutenu par l’État nord-coréen, connu sous le nom de ScarCruft ou APT37, a été repéré utilisant des messages de spear-phishing se faisant passer pour des notifications de sécurité de compte Microsoft pour diffuser un malware appelé NarwhalRAT. Ces e-mails d’attaque simulent une alerte de sécurité Microsoft, créant une inquiétude quant à une possible compromission de compte et abus de mot de passe à usage unique (OTP), incitant ainsi le destinataire à ouvrir la pièce jointe. Cependant, la pièce jointe n’est pas un document HWP comme prétendu, mais une archive ZIP contenant un fichier LNK malveillant.
Une fois lancé, le fichier LNK déclenche une chaîne d’infection en plusieurs étapes, utilisant des scripts batch intermédiaires pour télécharger et installer NarwhalRAT. Le malware, basé sur Python, peut enregistrer les frappes de clavier, capturer des captures d’écran, enregistrer de l’audio, et collecter diverses données, tout en exécutant des instructions d’un serveur de commande et de contrôle (C2).
NarwhalRAT se distingue par son utilisation de répertoires cachés pour stocker les informations récoltées, en se faisant passer pour le navigateur Naver Whale. Ce malware marque une évolution par rapport à RokRAT, un autre programme malveillant attribué à APT37. Les infrastructures C2 de NarwhalRAT utilisent des sites web coréens et l’API de stockage cloud pCloud pour ses communications.
Les similitudes avec les attaques précédentes de ScarCruft incluent l’utilisation de fichiers LNK dans des archives ZIP pour tromper les cibles. Les tâches planifiées pour assurer la persistance suivent une convention de nommage similaire. NarwhalRAT est considéré comme un malware avancé, intégrant un chargeur multi-étapes basé sur Python et une structure d’exécution en mémoire, avec des fonctions de collecte d’informations sélectives.
