O grupo de ameaças patrocinado pelo estado norte-coreano APT37 lançou uma campanha sofisticada, batizada de Ruby Jumper, empregando um conjunto completamente novo de ferramentas de malware projetadas especificamente para atingir computadores desconectados da internet. A descoberta, feita por analistas da Zscaler ThreatLabz em dezembro de 2025, representa uma escalada significativa nas capacidades do grupo, demonstrando como hackers estatais estão contornando medidas de segurança física consideradas fundamentais para proteger dados ultrasensíveis.
O que mudou agora
A campanha Ruby Jumper abandona a antiga família de malware Chinotto, usada pelo APT37 por anos, e introduz cinco componentes previamente desconhecidos: RESTLEAF, SNAKEDROPPER, THUMBSBD, VIRUSTASK e FOOTWINE. Cada um desempenha um papel específico em uma cadeia de ataque multiestágio que, partindo de um simples arquivo de atalho do Windows (LNK), consegue implantar ferramentas de vigilância em máquinas isoladas (air-gapped). O isco usado é um documento sobre o conflito Palestina-Israel traduzido do coreano para o árabe, indicando um foco em alvos de língua árabe.
Impacto e alcance
O alcance desta campanha é particularmente preocupante. Uma vez que uma unidade removível, como um pendrive, é utilizada tanto em uma máquina conectada à internet quanto em uma isolada, o malware estabelece uma ponte para sistemas que nunca deveriam ter contato com o mundo exterior. A campanha também abusa de serviços de nuvem populares — Zoho WorkDrive, Microsoft OneDrive, Google Drive e pCloud — como infraestrutura de comando e controle (C2), fazendo com que o tráfego malicioso se misture ao tráfego comercial legítimo.
Como a barreira física é quebrada
O componente tecnicamente mais notável é o THUMBSBD, um backdoor que transforma mídias removíveis comuns em um canal de comunicação secreto bidirecional. Quando um drive USB infectado é conectado a uma máquina com internet, o THUMBSBD copia arquivos de comando para um diretório oculto ($RECYCLE.BIN). Quando o mesmo drive é conectado a uma máquina air-gapped que já possui o implante THUMBSBD, o malware lê, descriptografa e executa esses comandos, permitindo desde exfiltração de arquivos até execução arbitrária de código.
Recomendações para equipes de segurança
Organizações que gerenciam ambientes de alta segurança ou air-gapped devem adotar medidas imediatas:
- Restringir o uso de mídias removíveis em todos os endpoints, especialmente em sistemas críticos, e impor controles de hardware onde possível.
- Monitorar tarefas agendadas com nomes incomuns, como
rubyupdatecheck, e auditar todas as novas tarefas criadas. - Auditar o acesso a armazenamento em nuvem a partir de endpoints, dado o abuso de serviços como OneDrive e Google Drive para C2.
- Inspecionar arquivos LNK em anexos de e-mail e conteúdo baixado, pois são o ponto de entrada inicial consistente do APT37.
- Buscar por indicadores de comprometimento (IOCs), incluindo o caminho de arquivo
%PROGRAMDATA%\usbspeed, a chave de registroHKCU\SOFTWARE\Microsoft\TnGtpe diretórios ocultos como$RECYCLE.BINou$RECYCLE.BIN.USERem drives removíveis.
A campanha Ruby Jumper serve como um alerta contundente de que a segurança por isolamento físico não é mais uma garantia absoluta contra adversários persistentes e bem financiados.