Se cree que los actores de amenazas conocidos como Transparent Tribe han lanzado nuevos ataques dirigidos a organizaciones gubernamentales, académicas y estratégicas en la India utilizando troyanos de acceso remoto (RAT) que les permiten tomar control permanente sobre los hosts comprometidos.
«La campaña utiliza técnicas de entrega engañosas, incluidos archivos de acceso directo de Windows (LNK) armados que se disfrazan de documentos PDF legítimos e incrustan contenido PDF completo para evitar sospechas de los usuarios», dijo CYFIRMA en un informe técnico.
Transparent Tribe, también conocido como APT36, es un grupo de hackers conocido por lanzar operaciones de ciberespionaje contra organizaciones en India. El adversario patrocinado por el Estado, que se cree es de origen indio, ha estado activo desde al menos 2013.
Este actor de amenazas cuenta con un arsenal de RAT en constante evolución para lograr sus objetivos. Los troyanos utilizados por Transparent Tribe en los últimos años incluyen CapraRAT, Crimson RAT, ElizaRAT y DeskRAT.
La última ronda de ataques comenzó con correos electrónicos de phishing que contenían archivos ZIP que contenían archivos LNK disfrazados de PDF. Al abrir el archivo se activa la ejecución de un script de aplicación HTML remota (HTA) utilizando ‘mshta.exe’, que descifra y carga la carga útil final de RAT directamente en la memoria. Paralelamente, la ETS descarga y abre un documento PDF señuelo para no despertar sospechas en los usuarios.
«Una vez establecida la lógica de decodificación, HTA aprovecha los objetos ActiveX, específicamente WScript.Shell, para interactuar con el entorno de Windows», dijo CYFIRMA. «Este comportamiento es indicativo de perfiles ambientales y manipulación del tiempo de ejecución, técnicas para garantizar la compatibilidad con el sistema de destino y aumentar la confiabilidad de la ejecución que se observa comúnmente en el malware que explota ‘mshta.exe'».
Lo destacable de este malware es su capacidad para adaptar su método de persistencia en función de la solución antivirus instalada en la máquina infectada.
Una vez que se detecta Kapsersky, crea un directorio de trabajo en ‘C:\Users\Public\core\’, escribe una carga útil HTA ofuscada en el disco, establece persistencia colocando un archivo LNK en la carpeta de inicio de Windows y luego inicia el script HTA usando ‘mshta.exe’. Si se detecta Quick Heal, crea un archivo por lotes y un archivo LNK malicioso en la carpeta de inicio de Windows y escribe la carga útil de HTA en el disco para establecer la persistencia. Si se detecta Avast, AVG o Avira, funciona copiando la carga útil directamente a su directorio de inicio y ejecutándola. Si no se detecta una solución antivirus reconocida, recurre a una combinación de ejecución de archivos por lotes, persistencia basada en el registro e implementación de carga útil antes de invocar el script por lotes.
El segundo archivo HTA contiene una DLL llamada «iinneldc.dll» que actúa como una RAT con todas las funciones y admite control remoto del sistema, administración de archivos, extracción de datos, captura de pantalla, manipulación del portapapeles y control de procesos.
«APT36 (La Tribu Invisible) sigue siendo una amenaza de ciberespionaje altamente persistente y estratégicamente impulsada, con un enfoque continuo en la recopilación de inteligencia dirigida a agencias gubernamentales indias, instituciones educativas y otros sectores estratégicamente relevantes», dijo la firma de ciberseguridad.
En las últimas semanas, APT36 también se ha vinculado a otra campaña que aprovecha un archivo de acceso directo malicioso disfrazado de PDF de asesoramiento gubernamental (‘NCERT-Whatsapp-Advisory.pdf.lnk’) para entregar un cargador basado en .NET. Este ataque arroja archivos ejecutables adicionales y DLL maliciosos para realizar la ejecución remota de comandos, el reconocimiento del sistema y establecer acceso a largo plazo.
Este acceso directo está diseñado para usar cmd.exe para ejecutar un comando ofuscado para recuperar un instalador MSI (‘nikmights.msi’) de un servidor remoto (‘aeroclubofindia.co(.)in’) y es responsable de iniciar una serie de acciones.
Extraiga el documento PDF señuelo y muéstrelo a la víctima. Decodifique el archivo DLL y escríbalo en «C:\ProgramData\PcDirvs\pdf.dll» y «C:\ProgramData\PcDirvs\wininet.dll». Coloque «PcDirvs.exe» en la misma ubicación y ejecútelo con un retraso de 10 segundos. Cree el registro en Visual Basic. Cree «PcDirvs.hta» que contiene el script para establecer la persistencia. Corregido para iniciar «PcDirvs.exe» cada vez que se inicia el sistema
Vale la pena señalar que el PDF señuelo que se muestra es un aviso legítimo emitido por el Equipo Nacional de Respuesta a Emergencias Cibernéticas de Pakistán (PKCERT) en 2024 con respecto a una campaña fraudulenta de mensajes de WhatsApp dirigida a agencias gubernamentales de Pakistán que utilizan archivos WinRAR maliciosos que infectan sistemas con malware.
La DLL «wininet.dll» se conecta a una infraestructura de comando y control (C2) codificada alojada en dns.wmiprovider(.)com. Se registró a mediados de abril de 2025. El C2 asociado con esta actividad está actualmente inactivo, pero debido a la persistencia basada en el registro de Windows, la amenaza puede regresar en cualquier momento en el futuro.
«La DLL implementa múltiples puntos finales basados en HTTP GET para establecer comunicación con el servidor C2, realizar actualizaciones y recuperar comandos emitidos por el atacante», dijo CYFIRMA. «Los caracteres de los puntos finales se almacenan intencionalmente en orden inverso para evitar la detección de cadenas estáticas».
Aquí está la lista de puntos finales:
/retsiger (registro), registra el sistema infectado en el servidor C2. /taebtraeh (latido), que señala su presencia al servidor C2. /dnammoc_teg (get_command), ejecuta cualquier comando a través de «cmd.exe». /dnammocmvitna (antivmcommand), consulta o establece el estado anti-VM y ajusta el comportamiento.
La DLL también consulta los productos antivirus instalados en el sistema de la víctima, convirtiéndolo en una poderosa herramienta que puede realizar reconocimientos y recopilar información confidencial.
Patchwork vinculado al nuevo troyano StreamSpy
La divulgación se produce semanas después de que un grupo de piratas informáticos que se cree es de origen indio llamado Patchwork (también conocido como Drop Elephant o Maha Gras) fuera vinculado a ataques dirigidos al sector de defensa de Pakistán utilizando una puerta trasera basada en Python distribuida a través de correos electrónicos de phishing que contienen archivos ZIP, dijo el investigador de seguridad Idan Talab.
Dentro del archivo hay un proyecto MSBuild que, cuando se ejecuta a través de «msbuild.exe», eventualmente descomprimirá un cuentagotas para instalar e iniciar Python RAT. El malware tiene la capacidad de conectarse a un servidor C2, ejecutar módulos Python remotos, ejecutar comandos y cargar/descargar archivos.
«Esta campaña representa un conjunto de herramientas Patchwork APT modernizado y altamente ofuscado que combina el cargador MSBuild LOLBin, un tiempo de ejecución de Python modificado por PyInstaller, implantes de código de bytes ordenados, geofencing, puntos finales PHP C2 aleatorios y (y) un mecanismo de persistencia realista», dijo Tarab.
A partir de diciembre de 2025, Patchwork también está asociado con un troyano no documentado anteriormente llamado StreamSpy que utiliza los protocolos WebSocket y HTTP para la comunicación C2. Los canales WebSocket se utilizan para recibir instrucciones y enviar resultados de ejecución, mientras que HTTP se utiliza para transferencias de archivos.
Según QiAnXin, el vínculo entre StreamSpy y Patchwork se debe a sus similitudes con Spyder, otra variante de puerta trasera llamada WarHawk atribuida a SideWinder. El uso de Spider por parte de Patchwork se remonta a 2023.
El malware (‘Annexure.exe’), distribuido a través de un archivo ZIP (‘OPS-VII-SIR.zip’) alojado en ‘firebasescloudemail(.)com’, puede recopilar información del sistema, establecer persistencia a través de archivos LNK en el registro de Windows, tareas programadas o carpetas de inicio, y comunicarse con un servidor C2 mediante HTTP y WebSockets. La lista de comandos admitidos se encuentra a continuación:
F1A5C3, utilice ShellExecuteExW para descargar y abrir el archivo. B8C1D2, configure el shell de ejecución de comandos en cmd E4F5A6, configure el shell de ejecución de comandos en PowerShell FL_SH1, cierre todos los shells C9E3D4, E7F8A9, H1K4R8, C0V3RT. Descargue el archivo zip cifrado del servidor C2, descomprímalo y ábralo usando el siguiente comando: ShellExecuteExW F2B3C4, recopile información sobre el sistema de archivos y todos los discos conectados al dispositivo D5E6F7, realice cargas y descargas de archivos A8B9C0, realice cargas de archivos D1E2F3, elimine archivos A4B5C6, cambie el nombre de los archivos D7E8F9, enumere carpetas específicas
Según QinAnXin, el sitio de descarga de StreamSpy también alberga una variante de Spyder con amplias capacidades de recopilación de datos, y la firma digital del malware muestra una correlación con otro RAT de Windows llamado ShadowAgent, atribuido a DoNot Team (también conocido como Brainworm). Curiosamente, 360 Threat Intelligence Center marcó el mismo ejecutable “Annexure.exe” que ShadowAgent en noviembre de 2025.
«La aparición de las variantes del troyano StreamSpy y Spyder del grupo Maha Grass indica que el grupo está iterando continuamente sus herramientas de ataque», dijo el proveedor de seguridad chino.
«Con el troyano StreamSpy, el atacante intenta utilizar un canal WebSocket para emitir comandos y retroalimentación de resultados con el fin de evadir la detección y censura del tráfico HTTP. Además, las muestras de correlación confirman que los grupos de ataque Maha Grass y DoNot tienen alguna conexión en términos de intercambio de recursos».
Source link
