Hack Alerta

ScarCruft amplia operação com OLE em HWP e C2 via serviços cloud

Por Redação Hack Alerta Publicado em 09/02/2026 10:03 Cyber ataques Tempo de leitura: 2 min

Pesquisadores detectaram campanha do grupo ScarCruft usando OLE em documentos HWP para entregar ROKRAT e abusando de serviços em nuvem (pCloud, Yandex) para C2. A operação emprega DLL side-loading, steganografia e uma chave xor de 1 byte para decriptação do payload.

Pesquisadores relataram uma campanha recente do grupo ScarCruft (ligado à Coreia do Norte) que distribui o trojan ROKRAT usando cadeias de ataque baseadas em OLE embutido em documentos HWP e abusando de serviços de nuvem legítimos como pCloud e Yandex para comandos e controle.

O que mudou na técnica de entrega

Ao contrário de vetores LNK mais usados anteriormente, os atores passaram a inserir objetos OLE maliciosos dentro de documentos Hangul Word Processor (HWP). Ao interagir com o documento, os OLEs disparam droppers/loaders que podem recorrer a side-loading de DLL para executar código com aparência legítima.

Componentes técnicos observados

  • Uso de OLE para embutir droppers e loaders em arquivos HWP.
  • DLL side-loading em processos como ShellRunas.exe com nomes maliciosos como mpr.dll ou credui.dll.
  • Payloads adicionais entregues por meio de steganografia hospedada em links (por exemplo, Dropbox) e decriptados com chave de 1 byte (xor 0x29) antes de execução em memória.
  • Resolução de APIs via rotinas ROR13 e técnicas consistentes com assinaturas históricas do grupo, usadas como evidência de atribuição.

C2 e evasão

Os operadores utilizam serviços legítimos em nuvem (pCloud, Yandex) para camuflar o tráfego C2 em meio ao ruído normal de rede, complicando bloqueios baseados em domínio. A escolha de infraestrutura comercial torna ações de mitigação mais delicadas, pois bloqueios indiscriminados podem afetar tráfego legítimo.

Impacto e mitigação

Para organizações, o principal vetor de risco é a execução de documentos HWP recebidos por e-mail ou outros canais. Recomendações práticas incluem:

  • Evitar abrir HWP de remetentes não verificados.
  • Fortalecer regras de detecção para identificar OLEs anômalos em documentos.
  • Monitorar comportamento de side‑loading de DLLs e verificar integridade de binários carregados por processos do sistema.

Observações finais

A análise (S2W) confirmou similaridades técnicas com campanhas ScarCruft históricas, como chaves de decriptação e técnicas de API resolving, o que reforça a atribuição. A campanha demonstra evolução da ferramenta e da cadeia de entrega para evitar detecção baseada em vetores conhecidos.

Equipes de resposta devem priorizar escaneamento de documentos recebidos, regras contra side-loading e revisão de uso de serviços em nuvem na telemetria para identificar conexões C2 mascaradas por provedores legítimos.

Baseado em publicação original de Cyber Security News
Tags: #scarcruft #rokrat #hwp #ole #dll-side-loading #c2 #pcloud #yandex
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar