Air-gapped networks aren't supposed to be breachable. That's the whole point. They're isolated. Disconnected. Theoretically impenetrable. And yet, here we are again—security researchers at Zscaler ThreatLabz just documented a live campaign where North Korean threat actor ScarCruft is doing exactly that, using a combination of legitimate cloud services and carefully engineered USB malware to slip past defenses that organizations have spent years building.
This isn't theoretical. This isn't a lab exercise. According to The Hacker News, this is an active operation with real malware tools and documented attack chains.
The real question is: how many organizations know they're already compromised?
What We Know
Zscaler ThreatLabz identified the campaign and documented two novel attack components. The first is a backdoor that abuses Zoho WorkDrive—a legitimate cloud storage and collaboration platform—as a command-and-control infrastructure. The second is purpose-built USB malware designed specifically to bridge the gap between internet-connected networks and isolated systems.
The backdoor piece is particularly clever. By leveraging a trusted, mainstream service like Zoho WorkDrive for C2 communications, ScarCruft avoids the typical signatures and network rules that catch traditional malware callbacks. It's hiding in plain sight. Your firewall sees legitimate cloud traffic. Your analysts see an employee syncing files. Meanwhile, adversaries are exfiltrating data.
Then there's the USB malware component.
This is where the campaign gets asymmetric. Air-gapped networks still have a critical weakness: humans with USB drives. Someone walks from the connected network to the isolated one. They plug in a device. They sync data. And if that USB drive is infected, the air gap collapses.
ScarCruft weaponized this. The USB malware doesn't need internet connectivity. It doesn't need to call home. It simply needs to exist on the isolated network long enough to establish persistence, exfiltrate sensitive data, or lay groundwork for follow-on attacks.
How It Works
The attack chain is methodical. Initial compromise likely occurs on internet-facing systems through phishing, credential compromise, or exploitation—standard ScarCruft tradecraft. Once inside, attackers deploy the Zoho WorkDrive backdoor, establishing a covert communication channel that blends into legitimate business activity.
From there, operators have time. They conduct reconnaissance. They identify which systems have USB access. They craft malicious USB devices tailored to the target environment. And when the moment's right—when someone's moving files between networks—the USB device gets deployed.
Infection happens silently. No alerts. No suspicious network traffic. Just data moving from the air-gapped network to the connected one, where it can be exfiltrated to attacker infrastructure.
Frankly, this was avoidable at multiple points. USB port restrictions. DLP policies. Actually monitoring what leaves air-gapped networks. But those defenses require discipline, and discipline is expensive.
Why It Matters
ScarCruft has historically targeted government, defense, and critical infrastructure sectors. They don't waste time on random targets. If they're deploying tools like this, they're doing it against systems that matter—likely classified networks, weapons systems, defense contractors, or intelligence operations.
The implications are serious. Air-gapped isolation has been a cornerstone of defense-in-depth strategy for decades. If attackers can reliably cross that gap using USB malware, the entire architectural model becomes questionable. You can't just build walls anymore. You have to assume every connection point—including USB drives—is a potential breach vector.
And the Zoho WorkDrive angle? That's a blueprint other threat actors will study. Why burn resources on dedicated C2 infrastructure when you can abuse legitimate services?
Next Steps
Organizations with classified or isolated networks need immediate action. Implement USB port disabling on systems that don't absolutely require it. Deploy endpoint detection and response (EDR) tools that can catch USB-based malware behaviors even if you can't block the devices outright. Review your Zoho WorkDrive logs—not just for suspicious activity, but for what's *not* there. Gaps in legitimate usage patterns can be suspicious too.
Run tabletop exercises. Your incident response plan probably assumes you can disconnect from the internet. But if attackers are already inside your air-gapped network through USB malware, disconnecting won't help.
And have a conversation with your teams about data movement. Because air gaps are only effective if you actually respect them.
Ізольовані мережі не мають бути вразливими для проникнення. У цьому і полягає їхня суть. Вони ізольовані. Відключені. Теоретично непроникні. І все ж таки – дослідники безпеки з Zscaler ThreatLabz щойно задокументували живу кампанію, де північнокорейська група ScarCruft робить саме це, використовуючи комбінацію легітимних хмарних сервісів та ретельно розроблених USB-малверів для обходу захистів, які організації будували роками.
Це не теорія. Це не лабораторна вправа. За даними The Hacker News, це активна операція з реальними малвер-інструментами та задокументованими ланцюжками атак.
Справжнє питання: скільки організацій уже знають, що вони скомпрометовані?
Що нам відомо
Zscaler ThreatLabz виявила кампанію та задокументувала два нові компоненти атак. Перший – це бекдор, який зловживає Zoho WorkDrive – легітимною хмарною платформою для зберігання та спільної роботи – як інфраструктурою для команди та контролю. Другий – це спеціально розроблений USB-малвер, призначений для подолання розриву між мережами, підключеними до інтернету, та ізольованими системами.
Частина з бекдором особливо хитра. Використовуючи надійний, поширений сервіс як Zoho WorkDrive для C2-комунікацій, ScarCruft уникає типових сигнатур та мережевих правил, які ловлять традиційні малвер-зворотні дзвінки. Це приховано на виду. Ваш брандмауер бачить легітимний хмарний трафік. Ваші аналітики бачать, як працівник синхронізує файли. Тим часом зловмисники видобувають дані.
А потім є USB-малвер компонента.
Ось де кампанія набуває асиметричного характеру. Ізольовані мережі все ще мають критичну слабкість: люди з USB-накопичувачами. Хтось проходить з підключеної мережі на ізольовану. Вони вставляють пристрій. Вони синхронізують дані. І якщо цей USB-накопичувач інфіковано, ізоляція мережі колапсує.
ScarCruft це зброєю зробила. USB-малвер не потребує інтернет-підключення. Йому не потрібно голосити додому. Йому просто потрібно існувати в ізольованій мережі достатньо довго, щоб встановити персистентність, видобути конфіденційні дані або підготувати ґрунт для наступних атак.
Як це працює
Ланцюжок атак методичний. Початкове компрометування, ймовірно, відбувається на мережах, доступних з інтернету, через фішинг, компрометацію облікових даних або експлуатацію – стандартна тактика ScarCruft. Потім, опинившись всередину, зловмисники розгортають бекдор Zoho WorkDrive, встановлюючи приховану комунікаційну канал, який злилася з легітимною діяльністю компанії.
Звідти операторам є час. Вони проводять розвідку. Вони виявляють, які системи мають доступ USB. Вони створюють шкідливі USB-пристрої, адаптовані до цільового середовища. І коли наступає потрібний момент – коли хтось переміщує файли між мережами – USB-пристрій розгортається.
Інфекція відбувається безшумно. Жодних сигналів тривоги. Жодного підозрілого мережевого трафіку. Просто дані, що переміщуються з ізольованої мережі на підключену, звідки вони можуть бути видобути до інфраструктури зловмисників.
Чесно кажучи, це було можна уникнути на кількох етапах. Обмеження портів USB. Політики запобігання втраті даних. Фактичне моніторування того, що виходить з ізольованих мереж. Але ці захисти потребують дисципліни, а дисципліна дорога.
Чому це важливо
ScarCruft історично атакує державні, оборонні та критичної інфраструктури секторів. Вони не марнують час на випадкові цілі. Якщо вони розгортають інструменти на кшталт цього, вони роблять це проти систем, які мають значення – ймовірно, секретні мережі, системи озброєння, оборонні контрактори або розвідувальні операції.
Наслідки серйозні. Ізоляція мереж на основі повної відключеності була наріжним каменем стратегії захисту в глибину протягом десятиліть. Якщо зловмисники можуть надійно перетинати цей розрив, використовуючи USB-малвер, вся архітектурна модель стає сумнівною. Ви не можете просто будувати стіни. Ви повинні припускати, що кожна точка підключення – включаючи USB-накопичувачі – це потенційний вектор проникнення.
А кут Zoho WorkDrive? Це схема, яку вивчатимуть інші групи зловмисників. Чому витрачати ресурси на виділену C2-інфраструктуру, якщо ви можете зловживати легітимними сервісами?
Наступні кроки
Організаціям з секретними або ізольованими мережами потрібна негайна дія. Реалізуйте вимкнення USB-портів на системах, які абсолютно його не потребують. Розгорніть інструменти виявлення та відповіді на ендпоінтах (EDR), які можуть виловити поведінку USB-малверів, навіть якщо ви не можете повністю заблокувати пристрої. Перегляньте ваші логи Zoho WorkDrive – не тільки на предмет підозрілої діяльності, але й на предмет того, чого там немає. Прогалини в légітимних схемах використання також можуть бути підозрілими.
Проведіть настільні тренування. Ваш план реагування на інциденти, ймовірно, припускає, що ви можете відключитися від інтернету. Але якщо зловмисники вже знаходяться всередині вашої ізольованої мережі через USB-малвер, відключення не допоможе.
І проведіть розмову зі своїми командами про переміщення даних. Оскільки ізоляція мереж ефективна лише якщо ви її реально дотримуєтесь.