Al actor de amenazas norcoreano conocido como ScarCruft se le ha atribuido un nuevo conjunto de herramientas, incluida una puerta trasera que utiliza Zoho WorkDrive para comunicaciones de comando y control (C2) para recuperar más cargas útiles y un implante que utiliza medios extraíbles para transmitir comandos y violar redes aisladas.

La campaña, cuyo nombre en clave Jersey rubí de Zscaler ThreatLabz, implica la implementación de familias de malware, como RESTLEAF, SNAKEDROPPER, THUMBSBD, VIRUSTASK, FOOTWINE y BLUELIGHT para facilitar la vigilancia en el sistema de la víctima. Fue descubierto por la empresa de ciberseguridad en diciembre de 2025.

«En la campaña Ruby Jumper, cuando una víctima abre un archivo LNK malicioso, lanza un comando de PowerShell y escanea el directorio actual para ubicarse según el tamaño del archivo», dijo el investigador de seguridad Seongsu Park. dicho. «Luego, el script de PowerShell iniciado por el archivo LNK crea múltiples cargas útiles incrustadas a partir de compensaciones fijas dentro de ese LNK, incluido un documento señuelo, una carga útil ejecutable, un script de PowerShell adicional y un archivo por lotes».

Uno de los documentos señuelo utilizados en la campaña muestra un artículo sobre el conflicto palestino-israelí traducido de un periódico norcoreano al árabe.

Las tres cargas útiles restantes se utilizan para pasar progresivamente el ataque a la siguiente etapa, con el script por lotes iniciando PowerShell, que, a su vez, es responsable de cargar el código shell que contiene la carga útil después de descifrarla. La carga útil ejecutable de Windows, denominada RESTLEAF, se genera en la memoria y utiliza Zoho WorkDrive para C2, lo que marca la primera vez que el actor de amenazas abusa del servicio de almacenamiento en la nube en sus campañas de ataque.

Una vez que se autentica exitosamente con la infraestructura de Zoho WorkDrive mediante un token de acceso válido, RESTLEAF descarga el código shell, que luego se ejecuta mediante inyección de proceso, lo que eventualmente conduce a la implementación de SNAKEDROPPER, que instala el tiempo de ejecución de Ruby, configura la persistencia usando una tarea programada y elimina THUMBSBD y VIRUSTASK.

THUMBSBD, que está disfrazado de archivo Ruby y utiliza medios extraíbles para transmitir comandos y transferir datos entre sistemas conectados a Internet y aislados. Es capaz de recopilar información del sistema, descargar una carga útil secundaria desde un servidor remoto, filtrar archivos y ejecutar comandos arbitrarios. Si se detecta la presencia de algún medio extraíble, el malware crea una carpeta oculta y la utiliza para preparar comandos emitidos por el operador o almacenar resultados de ejecución.

Una de las cargas útiles entregadas por THUMBSBD es FOOTWINE, una carga útil cifrada con un lanzador de código shell integrado que viene equipado con capacidades de registro de teclas y captura de audio y video para realizar vigilancia. Se comunica con un servidor C2 mediante un protocolo binario personalizado a través de TCP. El conjunto completo de comandos admitidos por el malware es el siguiente:

• smpara shell de comandos interactivo
• fmpara manipulación de archivos y directorios
• GMpara gestionar complementos y configuración
• habitaciónpara modificar el Registro de Windows
• p.mpara enumerar procesos en ejecución
• DMpara tomar capturas de pantalla y capturar pulsaciones de teclas
• centímetropara realizar vigilancia de audio y vídeo
• Dakota del Surpara recibir el contenido del script por lotes desde el servidor C2, guardarlo en el archivo %TEMP%\SSMMHH_DDMMYYYY.bat y ejecutarlo
• pxmpara configurar una conexión proxy y retransmitir el tráfico bidireccionalmente.
• [filepath]para cargar una DLL determinada

THUMBSBD también está diseñado para distribuir BLUELIGHT, una puerta trasera previamente atribuida a ScarCruft desde al menos 2021. El malware utiliza como arma a proveedores legítimos de la nube, incluidos Google Drive, Microsoft OneDrive, pCloud y BackBlaze, para que C2 ejecute comandos arbitrarios, enumere el sistema de archivos, descargue cargas útiles adicionales, cargue archivos y se elimine.

También entregado como un archivo Ruby, VIRUSTASK funciona de manera similar a THUMBSBD en el sentido de que actúa como un componente de propagación de medios extraíbles para propagar el malware a sistemas aislados no infectados. «A diferencia de THUMBSBD, que se encarga de la ejecución de comandos y la exfiltración, VIRUSTASK se centra exclusivamente en convertir en armas medios extraíbles para lograr acceso inicial a sistemas con espacios de aire», explicó Park.

«La campaña Ruby Jumper implica una cadena de infección de múltiples etapas que comienza con un archivo LNK malicioso y utiliza servicios de nube legítimos (como Zoho WorkDrive, Google Drive, Microsoft OneDrive, etc.) para implementar un entorno de ejecución Ruby novedoso y autónomo», dijo Park. «Lo más importante es que THUMBSBD y VIRUSTASK utilizan medios extraíbles como armas para evitar el aislamiento de la red e infectar sistemas aislados».