A Zscaler ThreatLabz descobriu, em dezembro de 2025, uma nova campanha maliciosa do grupo cibercriminoso norte-coreano APT37, conhecida como Ruby Jumper. Segundo os investigadores da empresa, trata-se de uma evolução significativa das capacidades do grupo de hackers, combinando novos formatos de implantes de malware e ferramentas para infetar sistemas isolados através de equipamentos USB. Ou seja, capacidade de comando e controlo de máquinas com dados sensíveis, mesmo sem acesso à internet.

Não perca nenhuma notícia importante da atualidade de tecnologia e acompanhe tudo em tek.sapo.pt

Segundo a investigação, este formato de infeção altamente modular começa com um simples ficheiro LNK, mas evolui para um ecossistema de malware capaz de instalar um “runtime” completo do Ruby no sistema da vítima. A partir daí utilizar um servidor de cloud legítimo, como o Zoho WorkDrive, Google Drive, OneDrive, pCloud, BackBlaze para as comunicações C2.

O grupo de cibercriminosos tem um passado de anos ligado ao roubo de dados sensíveis e de conduzir supervigilância de pessoas individuais ou ligadas a governos. Os hackers continuam a usar correntes de infeção separadas que combinam código shell com malware na memória do Windows, semelhantes à campanha Ruby Jumper.

Clique nas imagens para ver com mais detalhe

O estudo mostra as diferentes ferramentas utilizadas nesta campanha maliciosa, incluindo o backdoor já conhecido Bluelight, usado como payload adicional para o controlo e exfiltração de dados via serviços de cloud. O Footwine que é um backdoor avançado com capacidades de vigilância  através de keylogging, imagens, áudio e vídeo. O Virustask é o mecanismo usado de propagação via USB, substituindo os ficheiros por atalhos maliciosos para comprometer novos hosts.

Os investigadores da Zscaler ThreatLabz apontam três aspetos que tornam esta campanha diferente, mas sobretudo inovadora e perigosa. O primeiro é o uso do Ruby como plataforma de execução, sendo instalado um runtime completo que manipula ficheiros internos para garantir a execução automática dos payloads, algo apontado como uma técnica rara no ecossistema de malware.

A segunda é a combinação de armazenamento na cloud para sistemas conectados e USB para sistemas isolados, o que permite um comando e controlo contínuo, mesmo em ambientes altamente restritos. O terceiro ponto é a propagação silenciosa através de atalhos LNK que substituem os ficheiros legítimos com o mesmo nome, aumentando drasticamente a taxa de infeção em máquinas isoladas.

Durante o processo, o sistema cria uma pasta oculta chamada RECYCLE.BIN no computador infetado, onde vai armazenando os ficheiros sensíveis. Quando deteta uma pendrive num equipamento isolado, o malware copia-os para o seu armazenamento. Quando ligada novamente a um computador com ligação online, o malware lê esses ficheiros e envia-os para um servidor controlado pelos hackers.

O objetivo final deste ataque em cadeia é a instalação das ferramentas Footwine e Bluelight para aceder à vigilância completa, o controlo remoto, a exfiltração de dados, mas sobretudo, manter uma persistência prolongada nos sistemas infetados. A campanha estará alinhada com os interesses estratégicos da Coreia do Norte, no que diz respeito à espionagem e à recolha de dados sensíveis.

Assine a newsletter do TEK Notícias e receba todos os dias as principais notícias de tecnologia na sua caixa de correio.