ESET logo

Onderzoekers van ESET analyseerden Dolphin, een niet eerder gemelde backdoor gebruikt door de ScarCruft APT-groep.


ESET-onderzoekers analyseerden een nog niet gemelde geavanceerde backdoor gebruikt door de ScarCruft APT-groep. Deze backdoor, door ESET Dolphin genoemd, beschikt over een brede waaier aan spionagemogelijkheden: monitoren van schijven en draagbare toestellen, exfiltreren van bestanden, keylogging, maken van screenshots en stelen van inloggegevens van browsers. Deze functionaliteiten zijn voorbehouden voor geselecteerde doelen, waarop de backdoor wordt ingezet na een eerste aanval met behulp van eenvoudiger malware. Dolphin misbruikt cloudopslagdiensten zoals Google Drive, voor Command and Control-communicatie.

ScarCruft, ook als APT37 of Reaper gekend, is een spionagegroep actief sinds 2012. Het richt zich voornamelijk op Zuid-Korea, maar ook andere Aziatische landen zijn een doelwit. ScarCruft lijkt vooral geïnteresseerd in overheids- en militaire organisaties en bedrijven in verschillende industrieën gelinkt aan de belangen van Noord-Korea.

“Nadat het op geselecteerde doelen is ingezet, doorzoekt Dolphin de schijven van gecompromitteerde systemen op interessante bestanden en exfiltreert deze naar Google Drive. Een ongewone functie, aangetroffen in vroegere versies van de backdoor, is de mogelijkheid om de instellingen van de Google- en Gmail-accounts van slachtoffers te wijzigen en hun beveiliging te verlagen om toegang tot Gmail-accounts te behouden voor de aanvallers”, zegt Filip Jurčacko, de ESET-onderzoeker die de backdoor analyseerde.


In 2021 voerde ScarCruft een “watering hole”-aanval uit op een Zuid-Koreaanse online krant gericht op Noord-Korea. De aanval bestond uit meerdere componenten, waaronder een Internet Explorer-exploit en shellcode die leidden tot een backdoor BLUELIGHT genaamd.

“In de vorige rapporten werd BLUELIGHT beschreven als de laatste lading van de aanval. Bij het analyseren van die aanval ontdekten we, via ESET-telemetrie, een tweede meer geavanceerde backdoor die via deze eerste backdoor op geselecteerde slachtoffers was gericht. We hebben deze Dolphin genoemd op basis van een PDB-pad in het uitvoerbare bestand”, verduidelijkt Jurčacko.

Sinds de eerste ontdekking van Dolphin, in april 2021, kon ESET-Research meerdere versies van de backdoor waarnemen, waarin de aanvallers de capaciteiten ervan verbeterden en pogingen deden om detectie te omzeilen.

Terwijl BLUELIGHT een basisverkenning en evaluatie van de gecompromitteerde machine uitvoert, is Dolphin geavanceerder en wordt enkel handmatig ingezet tegen geselecteerde slachtoffers. Beide backdoors zijn in staat om bestanden te exfiltreren vanaf een pad gespecificeerd in een commando. Dolphin doorzoekt echter ook actief schijven en exfiltreert automatisch bestanden met interessante extensies.

De backdoor verzamelt basisinformatie over de beoogde machine: versie van het besturingssysteem, de malwareversie, lijst met geïnstalleerde beveiligingsproducten, gebruikersnaam en computernaam. Standaard doorzoekt Dolphin alle vaste (HDD) en niet-vaste schijven (USB’s), maakt directorylijsten en exfiltreert bestanden per extensie. Dolphin zoekt ook naar draagbare toestellen, zoals smartphones, via de Windows Portable Device API. De backdoor steelt inloggegevens van browsers en kan keylogging uitvoeren en screenshots maken. Ten slotte plaatst het deze gegevens in gecodeerde ZIP-archieven voordat ze naar Google Drive worden doorgestuurd.

Voor meer technische informatie over de nieuwste ScarCruft APT-groepscampagne ga naar de blog

“Who’s swimming in South Korean waters? Meet ScarCruft’s Dolphin” op WeLiveSecurity. Volg ook ESET Research on Twitter voor de nieuwste info over ESET Research.