El sector de defensa de la India y las organizaciones vinculadas al gobierno han sido objeto de múltiples campañas destinadas a comprometer los entornos Windows y Linux utilizando troyanos de acceso remoto que pueden robar datos confidenciales y garantizar el acceso continuo a las máquinas infectadas.
Esta campaña se caracteriza por el uso de familias de malware como Geta RAT, Ares RAT y DeskRAT, y a menudo se atribuye a grupos de amenazas alineados con Pakistán rastreados como SideCopy y APT36 (también conocido como Transparent Tribe). SideCopy existe desde al menos 2019 y se cree que opera como una división de la Tribu Transparente.
«En conjunto, estas campañas refuerzan una narrativa familiar pero en evolución», dijo Aditya K. Sood, vicepresidente de ingeniería de seguridad y estrategia de IA en Aryaka. «Transparent Tribe y SideCopy no están reinventando el espionaje; lo están perfeccionando».
«Al ampliar nuestro alcance multiplataforma, aprovechar las tecnologías residentes en la memoria y experimentar con nuevos vectores de entrega, este ecosistema continúa operando por debajo del nivel de ruido mientras mantiene su enfoque estratégico».
Lo que todas las campañas tienen en común es el uso de correos electrónicos de phishing que contienen archivos adjuntos maliciosos o enlaces de descarga integrados para atraer objetivos potenciales a la infraestructura controlada por los atacantes. Estos mecanismos de acceso inicial actúan como un conducto para abrir accesos directos de Windows (LNK), archivos binarios ELF y archivos complementarios de PowerPoint que, cuando se abren, inician un proceso de varios pasos para eliminar el troyano.
Esta familia de malware está diseñada para proporcionar acceso remoto persistente, permitir el reconocimiento del sistema, recopilar datos, ejecutar comandos y facilitar operaciones posteriores al compromiso a largo plazo en entornos Windows y Linux.
Una de las cadenas de ataque es la siguiente: el archivo LNK malicioso llama a ‘mshta.exe’ para ejecutar un archivo de aplicación HTML (HTA) alojado en el dominio legítimo comprometido. La carga útil de HTA incluye JavaScript para descifrar la carga útil de la DLL integrada. Esto procesa el blob de datos incrustado, escribe un PDF señuelo en el disco, se conecta a un servidor de comando y control (C2) codificado y muestra el archivo señuelo guardado.
Después de mostrar el documento señuelo, el malware comprueba los productos de seguridad instalados y adapta su método de persistencia en consecuencia antes de implementar Geta RAT en los hosts infectados. Vale la pena señalar que esta cadena de ataque fue detallada por el investigador de CYFIRMA y Seqrite Labs, Sathwik Ram Prakki, a finales de diciembre de 2025.
Geta RAT admite una variedad de comandos para recopilar información del sistema, enumerar procesos en ejecución, finalizar procesos específicos, enumerar aplicaciones instaladas, recopilar credenciales, recuperar y reemplazar el contenido del portapapeles con datos proporcionados por el atacante, capturar capturas de pantalla, realizar operaciones con archivos, ejecutar comandos de shell arbitrarios y recopilar datos de dispositivos USB conectados.
Junto con esta campaña centrada en Windows hay una variante de Linux que utiliza binarios de Go como punto de partida para eliminar Ares RAT basado en Python a través de scripts de shell descargados de servidores externos. Al igual que Geta RAT, Ares RAT puede ejecutar una amplia gama de comandos para recopilar datos confidenciales, así como ejecutar scripts de Python y comandos emitidos por actores de amenazas.
Aryaka dijo que también observó otra campaña en la que el malware Golang DeskRAT se entregaba a través de un archivo complementario malicioso de PowerPoint. Este archivo complementario ejecuta una macro integrada para establecer comunicación saliente con el servidor remoto y recuperar el malware. El uso de DeskRAT por parte de APT36 fue documentado por Sekoia y QiAnXin XLab en octubre de 2025.
«Estas campañas demuestran que actores de amenazas centrados en el espionaje y con buenos recursos apuntan intencionalmente a la defensa, el gobierno y los sectores estratégicos de la India a través de señuelos con temas de defensa, falsificación de documentos oficiales e infraestructura de confianza regional», dijo la compañía. «Este trabajo se extiende más allá de la defensa, hacia las políticas, la investigación, la infraestructura crítica y las organizaciones adyacentes a la defensa que operan dentro del mismo ecosistema confiable».
«La implementación de Desk RAT, junto con Geta RAT y Ares RAT, destaca un conjunto de herramientas en evolución optimizado para el sigilo, la persistencia y el acceso a largo plazo».
Source link
