مجموعة القراصنة المدعومة من قبل الدولة الكورية الشمالية، والمعروفة باسم ScarCruft أو APT37، تم رصدها وهي تستخدم رسائل تصيد احتيالي متخصصة تتظاهر بأنها إشعارات أمان من حساب مايكروسوفت لنشر برمجيات خبيثة تعرف باسم NarwhalRAT. هذه الرسائل الإلكترونية الهجومية تحاكي تنبيهات أمان مايكروسوفت، مما يثير القلق بشأن احتمال اختراق الحساب وسوء استخدام كلمة المرور ذات الاستخدام الواحد (OTP)، مما يدفع المستلم لفتح المرفق. ومع ذلك، فإن المرفق ليس مستند HWP كما يُزعم، بل هو عبارة عن أرشيف ZIP يحتوي على ملف LNK خبيث.
عند تشغيله، يقوم ملف LNK بتفعيل سلسلة عدوى متعددة المراحل، مستخدمًا سكربتات باتش وسيطة لتحميل وتثبيت NarwhalRAT. البرمجية الخبيثة، المبنية على بايثون، قادرة على تسجيل نقرات لوحة المفاتيح، والتقاط لقطات شاشة، وتسجيل الصوت، وجمع بيانات متنوعة، بالإضافة إلى تنفيذ أوامر من خادم التحكم والسيطرة (C2).
يتميز NarwhalRAT باستخدامه لمجلدات مخفية لتخزين المعلومات التي يتم جمعها، متظاهرًا بأنه المتصفح Naver Whale. هذه البرمجية الخبيثة تمثل تطورًا مقارنةً بـ RokRAT، وهو برنامج ضار آخر يُنسب إلى APT37. تستخدم البنية التحتية لخوادم C2 الخاصة بـ NarwhalRAT مواقع ويب كورية وواجهة برمجة تطبيقات التخزين السحابي pCloud في اتصالاتها.
تشمل أوجه التشابه مع الهجمات السابقة لـ ScarCruft استخدام ملفات LNK في أرشيفات ZIP لخداع الأهداف. تتبع المهام المجدولة لضمان الاستمرارية نمط تسمية مشابه. يعتبر NarwhalRAT برمجية خبيثة متقدمة، حيث يدمج محملًا متعدد المراحل مبنيًا على بايثون وهيكل تنفيذ في الذاكرة، مع وظائف جمع معلومات انتقائية.
