Nach der Analyse des südkoreanischen Sicherheitsunternehmens Genians Security Center nutzten die Angreifer zwei Facebook-Konten, deren Standort auf Pjöngjang und Pjöngsong in Nordkorea gesetzt war, um Ziele zu identifizieren und vorzuselektieren. Die beiden Konten „richardmichael0828" und „johnsonsophia0414" wurden am 10. November 2025 angelegt.

Nachdem die Angreifer das Gespräch auf Telegram verlagert hatten, übermittelten sie eine ZIP-Datei. Diese enthielt die trojanisierte Fassung von Wondershare PDFelement, vier PDF-Dokumente sowie eine Textdatei mit der Anleitung, das Programm zur Anzeige der PDFs zu installieren.

Der nach dem Start des manipulierten Installers ausgeführte verschlüsselte Shellcode stellte eine Verbindung zum C2-Server „japanroom[.]com" her und lud eine zweite Stufe nach: eine JPG-Datei mit dem Namen „1288247428101.jpg", aus der schließlich die eigentliche RokRAT-Schadlast hervorging. Für die C2-Kommunikation missbrauchten die Angreifer die Website der Seouler Niederlassung eines japanischen Immobilien-Informationsdienstes.

Das GSC bewertet dieses Vorgehen als hochgradig ausweichende Strategie, die die Manipulation legitimer Software, den Missbrauch einer legitimen Website und die Tarnung über Dateiendungen kombiniert.

RokRAT selbst missbraucht Zoho WorkDrive als C2-Kanal – eine Technik, die Zscaler ThreatLabz im Februar 2026 im Rahmen einer als Ruby Jumper bezeichneten Kampagne beschrieben hatte. Der Trojaner kann Bildschirmfotos anfertigen, über „cmd.exe" Befehle aus der Ferne ausführen, Host-Informationen sammeln und das System auskundschaften. Zudem ist er darauf ausgelegt, der Erkennung durch Sicherheitsprogramme wie 360 Total Security von Qihoo zu entgehen und seinen schädlichen Datenverkehr zu verschleiern.

Die Kernfunktionen von RokRAT seien über die Zeit weitgehend stabil geblieben und in mehreren Operationen wiederholt eingesetzt worden, so das GSC. Statt seine grundlegende Funktionsweise zu verändern, habe sich RokRAT vor allem in seiner Auslieferungs-, Ausführungs- und Tarnkette weiterentwickelt.