Se observó que atacantes vinculados a Pakistán apuntaban a agencias gubernamentales indias como parte de un ataque de phishing dirigido a distribuir malware basado en Golang conocido como DeskRAT.
Se cree que la actividad, que Sekoia observó en agosto y septiembre de 2025, es obra de Transparent Tribe (también conocida como APT36), un grupo de hackers patrocinado por el estado que se sabe que ha estado activo desde al menos 2013. Esta actividad también se basa en una campaña anterior revelada por CYFIRMA en agosto de 2025.
La cadena de ataque implica el envío de un correo electrónico de phishing con un archivo ZIP adjunto. En algunos casos, también incluye enlaces que apuntan a archivos alojados en servicios legítimos en la nube como Google Drive. Dentro del archivo ZIP hay un archivo de escritorio malicioso integrado con un comando que utiliza Mozilla Firefox para mostrar un PDF señuelo (‘CDS_Directive_Armed_Forces.pdf’) y al mismo tiempo ejecutar la carga útil principal.
Ambos artefactos se recuperan de un servidor externo ‘modgovindia(.)com’) y se ejecutan. Como antes, esta campaña está diseñada para apuntar a sistemas Linux BOSS (Bharat Operating System Solutions) y utiliza un troyano de acceso remoto que puede establecer comando y control (C2) mediante WebSockets.
El malware admite cuatro métodos diferentes de persistencia, incluida la creación de un servicio systemd, la configuración de una tarea cron, la adición del malware al directorio de inicio automático de Linux ($HOME/.config/autostart) y la configuración de un .bashrc que inicia el troyano usando un script de shell escrito en el directorio «$HOME/.config/system-backup/».
DeskRAT admite cinco comandos diferentes.
ping, envía un mensaje JSON con la marca de tiempo actual junto con un «pong» al latido del servidor C2. Envíe un mensaje JSON con heartbeat_response y una marca de tiempo. browser_files, envía un listado del directorio. start_collection, busca y envía archivos que coincidan con un conjunto predefinido de extensiones y tengan un tamaño inferior a 100 MB. upload_execute y suelte una carga útil adicional de Python, shell o escritorio. y ejecutarlo
«El servidor C2 de DeskRAT se denomina servidor sigiloso», dijo la firma francesa de ciberseguridad. «En este contexto, un servidor oculto se refiere a un servidor de nombres que no aparece en los registros NS públicamente visibles del dominio asociado».
«Si bien las campañas iniciales aprovecharon plataformas legítimas de almacenamiento en la nube, como Google Drive, para distribuir cargas útiles maliciosas, TransparentTribe ahora ha pasado a utilizar servidores de prueba dedicados».
Los hallazgos siguen a un informe de QiAnXin XLab, que detalla una campaña dirigida a terminales de Windows con una puerta trasera Golang rastreada como StealthServer a través de correos electrónicos de phishing con archivos adjuntos de escritorio con trampas explosivas, lo que sugiere un enfoque multiplataforma.
Vale la pena señalar que existen tres variantes de StealthServer para Windows.
StealthServer Windows-V1 (observado en julio de 2025). Emplea varias técnicas antianálisis y antidepuración para evadir la detección. Establezca persistencia mediante tareas programadas, scripts de PowerShell agregados a la carpeta de inicio de Windows y cambios en el registro de Windows. Comuníquese con el servidor C2 mediante TCP para enumerar archivos y cargar/descargar archivos específicos StealthServer Windows-V2 (verificado a finales de agosto de 2025). Agrega nuevas comprobaciones antidepuración a herramientas como OllyDbg, x64dbg e IDA al tiempo que conserva la funcionalidad. StealthServer Windows-V3 (verificado a finales de agosto de 2025). Utilice WebSockets. Mismas funciones que DeskRAT para comunicación
XLab dijo que también observó dos variantes de Linux de StealthServer, una de las cuales era DeskRAT, que admite un comando adicional llamado «bienvenido». La segunda versión de Linux, por otro lado, utiliza HTTP en lugar de WebSockets para la comunicación C2. Cuenta con tres comandos:
Examinar, enumerar los archivos en el directorio especificado Cargar, cargar el archivo especificado Ejecutar, ejecutar un comando bash
También busca recursivamente en el directorio raíz (‘https://thehackernews.com/’) archivos que coincidan con un conjunto de extensiones y envía los archivos encontrados en forma cifrada a través de una solicitud HTTP POST a ‘modgovindia(.)space:4000’. Esto indica que la variante de Linux puede haber sido una versión anterior de DeskRAT, ya que este último tiene un comando «start_collection» dedicado para extraer archivos.
«Las operaciones de este grupo son frecuentes y se caracterizan por una amplia variedad de herramientas, numerosas variaciones y una alta frecuencia de entrega», dijo QiAnXin XLab.
Ataques de otros grupos de amenazas del sur y este de Asia
El desarrollo se produce en medio del descubrimiento de varias campañas orquestadas por actores de amenazas centrados en el sur de Asia en las últimas semanas.
Campaña de phishing realizada por Bitter APT dirigida a sectores gubernamentales, energéticos y militares en China y Pakistán. CVE-2025-8088 se explota utilizando un archivo adjunto malicioso de Microsoft Excel o un archivo RAR, lo que finalmente elimina un implante de C# llamado ‘cayote.log’ que puede recopilar información del sistema y ejecutar archivos ejecutables arbitrarios recibidos de un servidor controlado por un atacante. Una nueva ola de actividad dirigida realizada por SideWinder. Dirigido al sector marítimo y otras industrias en Pakistán, Sri Lanka, Bangladesh, Nepal y Myanmar, utiliza portales de recolección de credenciales y documentos señuelo armados para distribuir malware multiplataforma como parte de una campaña «intensiva» cuyo nombre en código es Operación Southnet. Una campaña de ataque realizada por un grupo de hackers alineado con Vietnam conocido como OceanLotus (también conocido como APT-Q-31). Proporciona un marco de caos posterior a la explotación en ataques dirigidos a empresas y departamentos gubernamentales en China y los países vecinos del sudeste asiático. Campaña de ataque realizada por Mysterious Elephant a principios de 2025. A través de una combinación de kits de exploits, correos electrónicos de phishing y documentos maliciosos, obtienen acceso inicial a departamentos gubernamentales y diplomáticos específicos en Pakistán, Afganistán, Bangladesh, Nepal, India y Sri Lanka. Utilice un script de PowerShell para eliminar BabShell (shell inverso de C++) e iniciar MemLoader HidenDesk. (un cargador que ejecuta cargas útiles Remcos RAT en la memoria) y MemLoader Edge (otro cargador malicioso que incorpora VRat, una variante del RAT vxRat de código abierto).
En particular, estas intrusiones también se centraron en robar comunicaciones de WhatsApp de hosts comprometidos utilizando una serie de módulos (es decir, Uplo Exfiltrator y Stom Exfiltrator) que se especializan en capturar varios archivos intercambiados a través de la popular plataforma de mensajería.
Otra herramienta utilizada por los actores de amenazas es ChromeStealer Exfiltrator. Como sugiere el nombre, puede recopilar cookies, tokens y otra información confidencial de Google Chrome, así como desviar archivos relacionados con WhatsApp.
La divulgación revela un grupo de piratas informáticos que ha evolucionado hasta convertirse en una operación de amenazas sofisticada que no solo se basa en las herramientas de otros actores de amenazas, sino que también utiliza su propio malware personalizado. Se sabe que este enemigo tiene una superposición táctica con Origami Elephant, Confucius y SideWinder, todos los cuales se considera que operan teniendo en cuenta los intereses de la India.
«Mysterious Elephant es un grupo de amenaza persistente avanzado altamente sofisticado y activo que representa una amenaza significativa para los sectores gubernamentales y diplomáticos en la región de Asia y el Pacífico», dijo Kaspesky. «El uso de herramientas de código abierto personalizadas, como BabShell y MemLoader, resalta la experiencia técnica y la voluntad de invertir en el desarrollo de malware avanzado».
Source link
