Se ha observado que los actores de amenazas ubicados en Rusia, conocidos como TAG-10, ejecutan una campaña de phishing de lanza dirigida a Tayikistán utilizando plantillas de palabras con macro como la carga útil inicial.
Las cadenas de ataque son la desviación del uso de actores de amenaza del uso de cargadores de aplicación HTML (.hta) llamados hatVibe en la aplicación HTML (.hta).
«A la luz de la orientación histórica de las entidades del sector público de Asia Central en TAG-10, es probable que la campaña sea dirigida a gobiernos, instituciones de educación e investigación dentro de Tayikistán», dijo la compañía de seguridad cibernética.
«Estas actividades cibernéticas pueden tener como objetivo reunir inteligencia para influir en la política y la seguridad locales, especialmente durante eventos delicados como elecciones y tensiones geopolíticas».
TAG-10, también conocida como UAC-0063, es el nombre asignado a un grupo de actividades de amenaza conocido por atacar a la embajada europea. También son otras organizaciones en Asia Central, Asia Oriental y Europa. Se cree que es activo desde al menos 2021.
Las actividades relacionadas con los actores de amenaza evaluados para compartir la superposición con la tripulación de piratería de estado nación rusa APT28 fueron documentadas por primera vez en mayo de 2023 por la compañía rumana de ciberseguridad Bitdefender en relación con una campaña que proporciona malware (STARDARCE) dirigiendo entidades gubernamentales en Kazakhstan y Afganistán.
Sin embargo, fue el Equipo de Respuesta a Emergencias de la Computación Ucrania (CERT-UA) quien asignó oficialmente al apodo de UAC-0063 en el mismo mes después de descubrir un ataque cibernético dirigido a grupos estatales estatales que usan cepas de malware como LOGPI, Cherry Spy (también conocido como descenso), Doundex y Pyplug.
La última campaña, que se ha observado desde enero de 2025, dirigida a las organizaciones de Tayikistán, es un movimiento de Hatobib, entregado a través de archivos adjuntos de phishing de lanza incrustados en HTA a favor de los archivos de plantillas de palabras (DOTM).
«Anteriormente, TAG-110 apalancó documentos de palabras de Macro habilitados para entregar hatVibe de malware basado en HTA para el acceso inicial», dijo el futuro grabado. «Los documentos recién descubiertos no incluyen una carga útil HTA HatVibe integrada para crear tareas programadas y, en su lugar, no los aprovechan para persistir archivos de plantilla globales ubicados en la carpeta de inicio de Word».
Se sabe que los correos electrónicos de phishing utilizan documentos temáticos en el gobierno de Tayikistán como material con señuelo. Esto es consistente con el uso histórico de documentos gubernamentales legítimos trailizados como vectores de entrega de malware. Sin embargo, las compañías de ciberseguridad dijeron que no pueden verificar de forma independiente la confiabilidad de estos documentos.
La introducción del archivo es una macro VBA que puede colocar la plantilla de documento en una carpeta de inicio de Microsoft Word para la ejecución automática, luego iniciar comunicación con el servidor de comando y control (C2) y ejecutar código VBA adicional que proporciona una respuesta C2. Se desconoce la naturaleza exacta de la carga útil de la segunda etapa.
«Sin embargo, según la actividad histórica y el conjunto de herramientas de la TAG-10, el acceso inicial exitoso a través de plantillas habilitadas con macro podría implementar una nueva carga útil desarrollada a medida con HatVibe, CherrySpy, Logpie o cargas útiles personalizadas potencialmente nuevas diseñadas para espiar», dijo la compañía.
Source link
