Al actor de amenazas norcoreano conocido como ScarCruft se le ha atribuido un nuevo conjunto de herramientas, incluida una puerta trasera que utiliza Zoho WorkDrive para comunicaciones de comando y control (C2) para recuperar más cargas bártulos y un implante que utiliza medios extraíbles para transmitir comandos y violar redes aisladas.
La campaña, cuyo nombre en esencia Elástica rubí de Zscaler ThreatLabz, implica la implementación de familias de malware, como RESTLEAF, SNAKEDROPPER, THUMBSBD, VIRUSTASK, FOOTWINE y BLUELIGHT para favorecer la vigilancia en el sistema de la víctima. Fue descubierto por la empresa de ciberseguridad en diciembre de 2025.
“En la campaña Ruby Jumper, cuando una víctima abre un archivo LNK solapado, gancho un comando de PowerShell y escanea el directorio coetáneo para localizarse según el tamaño del archivo”, dijo el investigador de seguridad Seongsu Park. “Luego, el script de PowerShell iniciado por el archivo LNK crea múltiples cargas bártulos incrustadas a partir de compensaciones fijas en el interior de ese LNK, incluido un documento señuelo, una carga útil ejecutable, un script de PowerShell adicional y un archivo por lotes”.
Uno de los documentos señuelo utilizados en la campaña muestra un artículo sobre el conflicto palestino-israelí traducido de un diario norcoreano al árabe.
Las tres cargas bártulos restantes se utilizan para acontecer progresivamente el ataque a la subsiguiente etapa, con el script por lotes iniciando PowerShell, que, a su vez, es responsable de cargar el código shell que contiene la carga útil posteriormente de descifrarla. La carga útil ejecutable de Windows, denominada RESTLEAF, se genera en la memoria y utiliza Zoho WorkDrive para C2, lo que marca la primera vez que el actor de amenazas abusa del servicio de almacenamiento en la abundancia en sus campañas de ataque.
Una vez que se autentica exitosamente con la infraestructura de Zoho WorkDrive mediante un token de paso válido, RESTLEAF descarga el código shell, que luego se ejecuta mediante inyección de proceso, lo que eventualmente conduce a la implementación de SNAKEDROPPER, que instala el tiempo de ejecución de Ruby, configura la persistencia usando una tarea programada y elimina THUMBSBD y VIRUSTASK.
THUMBSBD, que está disfrazado de archivo Ruby y utiliza medios extraíbles para transmitir comandos y transferir datos entre sistemas conectados a Internet y aislados. Es capaz de resumir información del sistema, descargar una carga útil secundaria desde un servidor remoto, filtrar archivos y ejecutar comandos arbitrarios. Si se detecta la presencia de algún medio extraíble, el malware crea una carpeta oculta y la utiliza para preparar comandos emitidos por el cirujano o juntar resultados de ejecución.
Una de las cargas bártulos entregadas por THUMBSBD es FOOTWINE, una carga útil cifrada con un atleta de código shell integrado que viene equipado con capacidades de registro de teclas y captura de audio y video para realizar vigilancia. Se comunica con un servidor C2 mediante un protocolo binario personalizado a través de TCP. El conjunto completo de comandos admitidos por el malware es el subsiguiente:
- smpara shell de comandos interactivo
- fmpara manipulación de archivos y directorios
- GMpara tramitar complementos y configuración
- habitaciónpara modificar el Registro de Windows
- p.mpara enumerar procesos en ejecución
- DMpara tomar capturas de pantalla y capturar pulsaciones de teclas
- centímetropara realizar vigilancia de audio y vídeo
- Dakota del Surpara tomar el contenido del script por lotes desde el servidor C2, guardarlo en el archivo %TEMP%SSMMHH_DDMMYYYY.bat y ejecutarlo
- pxmpara configurar una conexión proxy y retransmitir el tráfico bidireccionalmente.
- (ruta de archivo)para cargar una DLL determinada
THUMBSBD incluso está diseñado para distribuir BLUELIGHT, una puerta trasera previamente atribuida a ScarCruft desde al menos 2021. El malware utiliza como armamento a proveedores legítimos de la abundancia, incluidos Google Drive, Microsoft OneDrive, pCloud y BackBlaze, para que C2 ejecute comandos arbitrarios, enumere el sistema de archivos, descargue cargas bártulos adicionales, cargue archivos y se elimine.
Igualmente entregado como un archivo Ruby, VIRUSTASK funciona de modo similar a THUMBSBD en el sentido de que actúa como un componente de propagación de medios extraíbles para propagar el malware a sistemas aislados no infectados. “A diferencia de THUMBSBD, que se encarga de la ejecución de comandos y la exfiltración, VIRUSTASK se centra exclusivamente en convertir en armas medios extraíbles para alcanzar paso auténtico a sistemas con espacios de música”, explicó Park.
“La campaña Ruby Jumper implica una sujeción de infección de múltiples etapas que comienza con un archivo LNK solapado y utiliza servicios de abundancia legítimos (como Zoho WorkDrive, Google Drive, Microsoft OneDrive, etc.) para implementar un entorno de ejecución Ruby novedoso y autónomo”, dijo Park. “Lo más importante es que THUMBSBD y VIRUSTASK utilizan medios extraíbles como armas para evitar el aislamiento de la red e infectar sistemas aislados”.
