APT37 slaat toe: nieuwe Rust-achterdeur brengt Zuid-Koreaanse gebruikers in gevaar!

APT37 slaat toe: nieuwe Rust-achterdeur brengt Zuid-Koreaanse gebruikers in gevaar!

Een nieuwe golf van aanvallen zorgt voor opwinding in de dynamische wereld van cybersecurity: de Noord-Koreaanse APT-groep APT37, ook bekend als LScarCruft, Ruby Sleet of Velvet Chollima, heeft zijn arsenaal aan malware aanzienlijk uitgebreid. Wat vooral in het oog springt is een nieuwe achterdeur gebaseerd op de Rust-programmeertaal genaamd “Rustonotto”, die specifiek Windows-systemen aanvalt. Security Insider heeft deze informatie gepubliceerd.

De aanvalspatronen van APT37 zijn voornamelijk geregistreerd in Zuid-Korea. Deze aanvallen gebruiken kwaadaardige Windows-snelkoppelingen of gecompileerde HTML Help-bestanden (CHM) als toegangspunt. Alle activiteiten lopen via één enkele command-and-control-server, zodat de aanvallers de controle over de geïnfiltreerde systemen behouden. Uit de dreigingsanalyse van Zscaler’s ThreatLabz blijkt duidelijk dat Rustonotto al sinds juni 2025 actief is en de eerste bekende Rust-gebaseerde malware uit deze groep is.

Unieke toegang en geavanceerde technieken

De aanvallen lijken niet gericht te zijn tegen bedrijven of overheidsinstanties, maar zijn eerder gericht op personen die banden hebben met het Noord-Koreaanse regime of op gevoelige politieke kwesties in Zuid-Korea. APT37 maakt gebruik van een combinatie van verschillende malwarecomponenten, waaronder de monitoringtool ‘FadeStealer’, die niet alleen toetsaanslagen registreert, maar ook schermafbeeldingen maakt en audiogegevens opneemt. Deze gegevens worden vervolgens gecomprimeerd in met een wachtwoord beveiligde RAR-archieven en overgebracht naar de C2-server. Uit beveiligingsanalyses blijkt dat de inbreuk plaatsvindt door het gebruik van antidetectiemaatregelen zoals Transactional NTFS en Process Doppelganging, wat de detectie van de malware nog moeilijker maakt, zoals Cyberpress uitlegt.

Een geplande taak, vermomd als “MicrosoftUpdate”, voert regelmatig de Rustonotto-payload uit, waardoor permanente toegang tot de getroffen systemen wordt gegarandeerd. De malware gebruikt een combinatie van coderingstechnieken om zijn sporen uit te wissen en de surveillance te beïnvloeden.

APT's en hun doelen

Het BSI (Federaal Bureau voor Informatiebeveiliging) houdt de activiteiten van dergelijke aanvalsteams al geruime tijd in de gaten. In hun rapporten documenteren ze de strategische doelstellingen van deze groepen, die in de loop van de tijd kunnen veranderen. Het huidige dreigingslandschap wordt gekenmerkt door langdurige aanvallergroepen die specifieke belangen nastreven, waarbij APT37 een belangrijke rol speelt, en die tot doel hebben informatie te verzamelen, zoals in [BSI].

De aanvallers opereren vaak in een juridisch grijs gebied, wat hun activiteiten bijzonder explosief maakt. Met technologieën zoals moderne programmeertalen en geavanceerde injectiemethoden is APT37 niet alleen bedreigend gebleken, maar ook uiterst aanpasbaar. Bedrijven en individuen worden daarom aangemoedigd om hun cyberbeveiligingsstrategieën te heroverwegen en bestaande systemen regelmatig te controleren op tekenen van compromittering.

De wereld van cyberdreigingen is glibberig en verandert voortdurend - dus het in de gaten houden van de gevaarlijke situatie kan geen kwaad!