Das Zscaler ThreatLabz-Team hat APT37 (auch bekannt als ScarCruft, Ruby Sleet und Velvet Chollima) unter die Lupe genommen, da über die Backdoor Rustonotto erstmals auch Windows Systeme angegriffen werden.

APT37 zielt in erster Linie auf südkoreanische Aktivisten ab, die mit dem nordkoreanischen Regime in Verbindung stehen oder sich für Menschenrechte engagieren, und nutzt dabei speziell entwickelte Malware und neue Technologien. Dazu setzt APT37 fortschrittliche Taktiken ein wie Spear-Phishing, die Übertragung von CHM-Dateien (Compiled HTML Help) und Transactional NTFS (TxF) für die heimliche Code-Injektion.

Angriffe auf Windows-Systeme mit neuer Backdoor

ThreatLabz hat die Infektionskette von APT37 rekonstruiert, die mit einer ersten Kompromittierung über eine Windows-Verknüpfung oder eine Windows-Hilfedatei beginnt. In jüngsten Kampagnen nutzt APT37 einen einzigen Command-and-Control-Server (C2), um alle Komponenten seines Malware-Arsenals zu koordinieren, darunter eine Rust-basierte Backdoor, die ThreatLabz als Rustonotto (auch bekannt als CHILLYCHINO) bezeichnet, eine PowerShell-basierte Malware namens Chinotto und FadeStealer.

Rustonotto ist eine neu identifizierte leichtgewichtige Backdoor auf Basis der Rust Programmiersprache, die seit Juni 2025 erstmals aktiv wurde. Diese Backdoor stellt den ersten bekannten Fall dar, in dem APT37 Rust-basierte Malware für Angriffe auf Windows-Systeme einsetzt. Rustonotto verfügt über grundlegende Funktionen zum Ausführen von Windows-Befehlen und zum Senden der Ergebnisse an einen vom Bedrohungsakteur kontrollierten Server. Rustonotto mag zwar einfach erscheinen, aber die Verwendung von Rust unterstreicht die kontinuierliche Weiterentwicklung der Gruppe, moderne Sprachen zu übernehmen, um damit Multi-Plattform-Angriffe zu unterstützen. Nach der ersten Kompromittierung über einen Windows-Shortcut oder eine Windows Hilfsdatei wird Chinotto aktiv und platziert FadeStealer im Zuge eines komplexen Infektionsmechanismus.

Sensible Daten und gezielte Überwachung

FadeStealer ist ein seit 2023 aktives Überwachungs-Tool, das Tastaturanschläge aufzeichnet, Screenshots und Audioaufnahmen macht, Geräte und Wechselmedien überwacht und Daten über passwortgeschützte RAR-Archive exfiltriert. FadeStealer nutzt dazu HTTP POST und Base64-Kodierung für die Kommunikation mit seinem Command-and-Control-Server (C2). Nach Verwendung einfacher Backdoors in der Anfangsphase setzten die Angreifer FadeStealer über eine Python-basierte Infektionskette ein.

Opfer mit Verbindung zum Regime

Die Untersuchungen ergaben, dass sich die Opfer dieser Angriffskette in Südkorea aufhielten. Obwohl die genaue Identität der Opfer aufgrund der begrenzt verfügbaren Informationen unklar bleibt, scheinen sie nicht mit Unternehmen oder Regierungsorganisationen in Verbindung zu stehen. Auf der Grundlage der bei dem Angriff verwendeten Köderinhalte (“Two Perspectives on North Korea in South Korean Society”) vermutet ThreatLabz mit mittlerer Sicherheit, dass zu den beabsichtigten Zielen Personen gehören, die mit dem nordkoreanischen Regime in Verbindung stehen oder an politischen und/oder diplomatischen Angelegenheiten Südkoreas beteiligt sind. ThreatLabz arbeitete mit der Korea National Police Agency (KNPA) zusammen und unterstützte deren Ermittlungen zu APT37 mit technischen Analysen.

Bekannter Akteur mit neuen Taktiken

APT37 stellt durch den Einsatz von fortschrittlichen Tools und Taktiken weiterhin seine Anpassungsfähigkeit und Kompetenz unter Beweis. Durch die Einbindung neuer Technologien in Verbindung mit ausgefeilten Social Engineering Techniken ist die Gruppe in der Lage, sensible Informationen effektiv zu exfiltrieren und Personen von Interesse gezielt zu überwachen. Die Zscaler Cloud Security Plattform Zero Trust Exchange mit Cloud Sandbox-Funktion erkennt die Indikatoren of Compromise der Kampagne von APT37 auf verschiedenen Ebenen.

Die umfangreiche technische Analyse ist im ThreatLabz-Blog nachzulesen.

www.zscaler.com

(Grafiken: Zscaler, Inc. 2025)

Zscaler gibt die Ernennung von Casper Klynge zum Vice President Head of EMEA Government Partnerships bekannt.

Als Teil des Global Government Partnership Teams wird Casper Klynge, Botschafter a.D., die politische Arbeit sowie die strategischen Beziehungen und Allianzen mit Regierungen, internationalen und regionalen Organisationen sowie Entscheidern in Europa, dem Nahen Osten und Afrika leiten. Er wird Länder, Organisationen und Betreiber kritischer Infrastrukturen beraten, wie sich Cybersicherheitsrisiken im Einklang mit europäischen und nationalen Datenschutz- und Regulierungsanforderungen mitigieren lassen und Initiativen für digitale Souveränität und strategische Autonomie vorantreiben.

Europäische Regierungen und Institutionen arbeiten mit Hochdruck daran, ihre Infrastrukturen sicher auf digitale und Cloud-basierte Anforderungen umzustellen und mit Datenschutz und -sicherheit sowie regulatorischen Verpflichtungen in Einklang zu bringen. Mit seiner globalen Cloud- und KI-basierten Zero Trust-Sicherheitsplattform unterstützt Zscaler bereits Organisationen weltweit bei der sicheren Einführung von Multicloud-Umgebungen, modernen Arbeitsweisen, 5G und der Digitalisierung von OT-Infrastrukturen sowie KI-/ML-Sicherheit, um die wachsenden Cyber-Risiken effektiv zu bekämpfen, und kann diese Expertise auch im öffentlichen Sektor einbringen. Da Datensouveränität Hand in Hand mit Cybersicherheit gehen muss, wird Casper Klynge in seiner neuen Funktion strategische Partnerschaften mit Regierungen in der gesamten EMEA-Region aufbauen, um die Vorteile des Zero Trust-Ansatzes hervorzuheben und regulatorische Fragen zu adressieren.

„Ich freue mich auf die Zusammenarbeit mit Casper Klynge, nachdem ich mit ihm bereits in seiner Rolle als Dänemarks Cyber- und Technologiebotschafter und in seinen verschiedenen Führungsrollen in der Industrie kooperieren konnte“, sagt Ryan Gillis, Senior Vice President, Global Head of Government Partnerships bei Zscaler. „Cybersicherheit steht auf Regierungsebene an einem kritischen Wendepunkt. Die Besetzung dieser Position mit einer europäischen Führungspersönlichkeit mit seiner Erfahrung und Anerkennung spiegelt Zscalers Engagement für den Aufbau strategischer Beziehungen zu Regierungen und regionalen Organisationen wider.“

„Ich freue mich darauf, in einer Zeit zu Zscaler zu stoßen, in der die Herausforderungen der Cybersicherheit und des Datenschutzes durch die Möglichkeiten der künstlichen Intelligenz sowohl für den privaten als auch für den öffentlichen Sektor zur Chefsache werden“, sagt Casper Klynge, Vice President, Head of EMEA Government Partnerships bei Zscaler. „Der Einsatz sicherer und zukunftsorientierter Technologien ist zu einer geopolitischen Aufgabe geworden, um digitale Resilienz zu erzielen. Sie ist die Grundlage für das Vertrauen in die digitale Transformation und damit entscheidend für Produktivität, Wirtschaftswachstum und die Schaffung von Arbeitsplätzen im kommenden digitalen Jahrzehnt. Ich freue mich auf die Zusammenarbeit mit dem Zscaler-Team, um digitale Souveränität im Einklang mit den Anforderungen an Cybersicherheit, Datenschutz und Privatsphäre sowie souveräne Cloud-Lösungen für unsere Partner in Europa, dem Nahen Osten und Afrika zu fördern.“

www.zscaler.com