O grupo norte-coreano APT37, também rastreado como Scar Cruft, foi atribuído a uma campanha de espionagem cibernética.

O ataque começa no Facebook e termina com a instalação silenciosa do Rok RAT, um trojan de acesso remoto focado em coleta de informações.

A análise da Genians Security Center (GSC), empresa sul-coreana de cibersegurança, mostrou que os operadores criaram duas contas no Facebook — "richardmichael0828" e "johnsonsophia0414" — com localização definida como Pyongyang e Pyongsong, na Coreia do Norte.

Ambas foram criadas no mesmo dia, 10 de novembro de 2025, o que sugere operação coordenada por um único ator ou organização.

A tática segue um roteiro de engenharia social em várias etapas.

Depois de estabelecida uma relação de confiança via Messenger, a conversa migra para o Telegram, onde é entregue um arquivo ZIP chamado "m.

O pacote contém um executável malicioso disfarçado de leitor de PDF, quatro documentos PDF com títulos militares como isca e um arquivo de instruções em texto.

Os criminosos alegam que os documentos supostamente contém materiais confidenciais sobre armamentos militares.

Para fazer a vítima executar o arquivo, eles justificam que os arquivos estão criptografados e exigem um visualizador dedicado para serem abertos.

Essa técnica se chama pretexting, em que o atacante cria um cenário falso para induzir a vítima a executar um programa malicioso.

O executável entregue é uma versão adulterada do Wondershare PDFelement, um leitor de PDF legítimo distribuído pela Wondershare.