Výskumníci z MalwareBytes publikovali blog s analýzou škodlivého dokumentu, ktorý objavili na portáli Virus Total.
Jeho obeťou sa začiatkom minulého roka mohli stať predstavitelia vlády Južnej Kórei. Spear-phishingová kampaň, ktorá potenciálne obete oslovovala s podvodnou žiadosťou o stretnutie, bola pripísaná skupine severokórejských hekerov APT37, známej aj ako Starcruft, Ricochet, Chollima alebo Reaper. Hackeri mali použiť techniku samodekódovania súborov, ktorú bezpečnostní výskumníci označili za šikovnú voľbu. Je totiž schopná obísť niekoľko mechanizmov statickej detekcie a skryť hlavný zámer škodlivého dokumentu. V správe uviedli, že súbor obsahuje vložené makro, ktoré spustí samodekódovanie VBA, programovacieho jazyka balíka Office, a to bez zápisu na disk. Výsledkom do implementácia trojana RokRat do klasického poznámkového bloku. Malvér RokRat je typický práve pre severokórejských hackerov APT37, ktorí ho využívajú približne od roku 2017.
Táto konkrétna verzia slúžila na kradnutie dát obetí a ich odosielanie do rozličných cloudových služieb. ATP37 sa dlhodobo zameriava na široké spektrum verejného i súkromného sektora. V minulosti išlo napríklad o subjekty pôsobiace v oblastiach ako chemikálie, elektronika, výroba, kozmický priestor, automobilový priemysel či zdravotníctvo. Lokalizácia obetí ich aktivít sa okrem Južnej Kórey časom rozšírila aj o Japonsko, Vietnam, Rusko, Nepál, Čínu, Indiu, Rumunsko, Kuvajt a ďalšie oblasti Blízkeho východu. Súčasťou portfólia severokórejskej skupiny malo byť taktiež zhromažďovanie spravodajských informácií z prostredia investičných a obchodných spoločností vo Vietname a Rusku a diplomatickej agentúry v Hongkongu.