Die südkoreanische Sicherheitsfirma Genians Security Center (GSC) hat die Details der Kampagne öffentlich gemacht und zeigt ein differenziertes Angriffsmuster, das mehrere innovative Techniken kombiniert. Die Angreifer erstellten zwei Facebook-Accounts — “richardmichael0828” und “johnsonsophia0414” — beide am 10. November 2025, mit Standortangaben Pjöngyang und Pyongsong in Nordkorea.
Das Angriffsszenario beginnt mit dem klassischen Social Engineering: Nach dem Aufbau vermeintlicher Freundschaften lenken die Täter die Kommunikation zu Telegram um und bieten dort eine ZIP-Datei an. Diese enthält eine manipulierte Version des legitimen PDF-Viewers Wondershare PDFelement sowie vier PDF-Dokumente und Installationsanweisungen. Sobald der Nutzer das trojanisierte Programm startet, wird versteckte Shellcode ausgeführt, die dem Angreifer den ersten Zugriff auf das System ermöglicht.
Das zeigt eine hochentwickelte Strategie: Die Ausnutzung vertrauenswürdiger Software, die Nutzung legaler Infrastruktur und Datei-Maskerade — all das kombiniert zu einer äußerst schwer zu erkennenden Angriffskette. Die Verbindung zum Command-and-Control-Server erfolgt über “japanroom[.]com”, eine kompromittierte Website einer japanischen Immobilieninformationsseite in Seoul. Von dort wird die zweite Angriffsstufe heruntergeladen: eine JPG-Datei, die tatsächlich RokRAT enthält.
Besonders bemerkenswert ist, dass RokRAT Zoho WorkDrive — ein legitimes Cloud-Speicher- und Zusammenarbeitstool — als C2-Kanal missbraucht. Diese Technik wurde bereits von Zscaler ThreatLabz im Februar 2026 dokumentiert. Der Trojaner kann Screenshots erstellen, Remote-Befehle ausführen, Systemdaten sammeln und sich vor Sicherheitsprogrammen wie Qihoo 360 Total Security verstecken, indem er böswilligen Datenverkehr verschleiert.
Was die Kampagne zusätzlich gefährlich macht: RokRAT hat seine Kernfunktionalität über Jahre beibehalten und wird kontinuierlich in neuen Operationen eingesetzt. Die Entwickler konzentrieren sich nicht auf technische Innovationen des Trojaners selbst, sondern auf immer raffinierteren Delivery-, Ausführungs- und Evade-Mechanismen — genau das macht die Bedrohung für Endnutzer und Unternehmen so persistent.
Deutsche Organisationen sollten ihre Sicherheitsbewusstsein erhöhen: Verdächtige Freundschaftsanfragen, besonders von Konten mit exotischen Standortangaben, und unerwartete Download-Aufforderungen sind klassische Warnsignale. Regelmäßige Sicherheitstrainings und robuste Endpunkt-Protection sind wesentlich.