Le groupe de hackers soutenu par l’État nord-coréen, connu sous le nom de ScarCruft ou APT37, a été récemment identifié utilisant des techniques de spear-phishing pour diffuser un malware nommé NarwhalRAT. Ces cybercriminels envoient des e-mails usurpant l’identité de notifications de sécurité de compte Microsoft, suscitant l’inquiétude d’une potentielle compromission de compte et d’un abus de mot de passe à usage unique (OTP), afin d’inciter les destinataires à ouvrir une pièce jointe. Contrairement à ce qui est annoncé, cette pièce jointe n’est pas un document HWP, mais une archive ZIP contenant un fichier LNK malveillant.
Lorsqu’il est exécuté, le fichier LNK déclenche une chaîne d’infection complexe, utilisant des scripts batch intermédiaires pour télécharger et installer NarwhalRAT. Ce malware, développé en Python, est capable d’enregistrer les frappes de clavier, de capturer des captures d’écran, d’enregistrer de l’audio, et de collecter diverses données, tout en exécutant des commandes provenant d’un serveur de commande et de contrôle (C2).
NarwhalRAT se distingue par sa capacité à utiliser des répertoires cachés pour stocker les informations collectées, en se faisant passer pour le navigateur Naver Whale. Ce programme malveillant représente une évolution par rapport à RokRAT, un autre logiciel malveillant attribué à APT37. Les infrastructures C2 de NarwhalRAT exploitent des sites web coréens ainsi que l’API de stockage cloud pCloud pour ses communications.
Les similitudes avec les attaques précédentes de ScarCruft incluent l’utilisation de fichiers LNK dans des archives ZIP pour tromper les cibles. Les tâches planifiées pour garantir la persistance suivent une convention de nommage similaire. NarwhalRAT est considéré comme un malware sophistiqué, intégrant un chargeur multi-étapes basé sur Python et une structure d’exécution en mémoire, avec des fonctions de collecte d’informations ciblées.
