El actor de amenaza, conocido como Patchwork, se atribuye a una nueva campaña de phishing de Spear dirigida a los contratistas de defensa turca con el objetivo de recopilar información estratégica.
«La campaña emplea una cadena de ejecución de cinco etapas entregada a través de archivos LNK maliciosos disfrazados de una invitación de reunión enviada a objetivos interesados en aprender más sobre los sistemas de vehículos no tripulados», dijo Arctic Wolf Labs en un informe técnico publicado esta semana.
La acción de seleccionar un fabricante desconocido de sistemas de misiles guiados con precisión también parece geopolítica motivada por su coincidencia de tiempo en la profundidad de la cooperación de defensa entre Pakistán, Churkiye y la reciente escaramuza entre el ejército india-paquistaní.
También conocido como APT-C-09, APT-Q-36, Chinoastrats, Elephant, Operation Hangover, Tiger y Zinc Emerson, el mosaico se califica como un actor patrocinado por el estado de origen indio. Los grupos de piratería que se sabe que han estado activos desde al menos 2009 tienen un historial de organizaciones impresionantes en China, Pakistán y otros países del sur de Asia.
Hace solo un año, el conocido equipo de la SEC 404 proporcionó una versión actualizada de la entidad de orientación de mosaico con un enlace a Blue Tan con un marco Blue Tratel C4 y una puerta trasera llamada Pgoshell.
Desde su lanzamiento en 2025, los actores de amenaza se han vinculado a varias campañas dirigidas a universidades chinas, con ataques recientes que utilizan cebo asociado con redes de energía doméstica para suministrar cebo para proporcionar cargadores oxidados y lanzar C# troyano llamado Protego para cosechar una amplia gama de información de un sistema de ventanas reducido.
Otro informe publicado en mayo por la firma china de ciberseguridad Qianxin identifica la superposición de infraestructura entre los mosaicos y el equipo de Donot (también conocido como APT-Q-38 o Ventricularis), lo que sugiere posibles lazos operativos entre los dos grupos de amenazas.
Dirigir a Türkiye por grupos de piratería apunta a una extensión de la huella de orientación utilizando archivos de accesos directos de Windows (LNK) de Windows (LNK) distribuidos a través de correos electrónicos de phishing como punto de partida para iniciar el proceso de infección por varias etapas.
Específicamente, el archivo LNK está diseñado para invocar los comandos de PowerShell responsables de obtener cargas útiles adicionales de un servidor externo («expouav (.) Org»), el dominio creado el 25 de junio de 2025.
«El documento PDF actúa como un señuelo visual y está diseñado para distraer al usuario, y el resto de la cadena de ejecución se ejecuta en silencio en segundo plano», dice Arctic Wolf. «Esta orientación se producirá a medida que Türkiye ordena el 65% del mercado global de exportación de UAV, desarrollando capacidades clave de misiles hi-sónicos, al tiempo que fortalece los lazos de defensa con Pakistán durante los períodos de crecientes tensiones entre India y Pakistán».
Entre los artefactos descargados se lanzan DLL maliciosas utilizando DLL Sidel singüentos utilizando tareas programadas, que finalmente conducen a la ejecución de ShellCode que realiza un reconocimiento extenso de hosts comprometidos, como tomar capturas de pantalla y devolver detalles al servidor.
«Esto representa una evolución significativa de la capacidad del actor de esta amenaza para migrar desde la variante X64 DLL observada en noviembre de 2024 al ejecutable actual de X86 PE con una estructura de comando mejorada», dijo la compañía. «Las gotas de elefantes demuestran la continua inversión operativa y el desarrollo a través de la diversificación arquitectónica desde el X64 DLL hasta el formato X86 PE, mejorando la implementación del protocolo C2 a través de la suplantación legítima del sitio web».
Source link
