Investigadores de ciberseguridad han revelado detalles de una campaña de phishing que se cree fue realizada por el grupo SideCopy alineado con Pakistán y que se dirigió al Ministerio de Finanzas de Afganistán utilizando un troyano de acceso remoto de código abierto llamado Xeno RAT.
«La campaña comienza con una entrega de phishing, un archivo ZIP que contiene un archivo LNK malicioso con un nombre de archivo pashto cuidadosamente elaborado», dijo el investigador de Seqrite Labs, Dixit Panchal, en un desglose técnico de la actividad.
Como parte de la campaña, los departamentos estatales de ingresos y finanzas, los empleados gubernamentales de habla pastún y los empleados gubernamentales a nivel estatal también están en el punto de mira. El nombre clave de esta campaña es “Operación XENOFISCAL”.
La elección del pastún para el archivo señuelo fue una elección deliberada por parte de los atacantes, ya que es el idioma que hablan principalmente los funcionarios del gobierno afgano. Este aspecto refleja la familiaridad del atacante con el entorno objetivo.
SideCopy es el nombre dado a un grupo de amenazas vinculado a Pakistán que opera bajo el paraguas más amplio de Transparent Tribe (también conocido como APT36) y que utiliza una variedad de familias de malware para robar datos confidenciales de hosts comprometidos. En abril de 2025, se observó que los adversarios utilizaban Xeno RAT, Spark RAT y CurlBack RAT para llevar a cabo una serie de ataques dirigidos a varios sectores de la India.
Desde esa perspectiva, la última campaña es una continuación de una gama más amplia de operaciones cibernéticas maliciosas dirigidas a organizaciones en el sur de Asia.
Cuando se ejecuta, el archivo de acceso directo de Windows (LNK) aprovecha ‘mshta.exe’ para recuperar una aplicación HTML remota (HTA) de un dominio educativo afgano comprometido y ejecuta JavaScript ofuscado en la memoria. El malware también establece persistencia basada en el registro imitando a Microsoft Edge y utiliza un cargador basado en DLL para eliminar Xeno RAT 1.8.7 y un documento señuelo como mecanismo de distracción.
Xeno RAT está diseñado para conectarse a servidores remotos a través de TCP y procesar comandos enviados por los operadores. El malware tiene la capacidad de cargar y ejecutar módulos DLL externos, enviar datos a servidores, iniciar el malware a través de tareas programadas, obtener información antivirus, admitir túneles de red basados en proxy SOCKS5, realizar operaciones de archivos, registrar pulsaciones de teclas, tomar capturas de pantalla, monitorear el portapapeles, rastrear cámaras web/micrófonos, eliminar métodos de persistencia y desinstalarse del host.
La divulgación se produce en medio de detalles de una operación de phishing dirigida que aprovechó archivos .desktop de Linux armados para atacar la infraestructura militar de la India utilizando señuelos relacionados con contratos relacionados con las operaciones de adquisición de vehículos blindados de la India. Se cree que esta campaña es obra de la Tribu Invisible.
«Esta campaña parece utilizar ingeniería social basada en WhatsApp y entrega de carga útil por etapas para apuntar a individuos asociados con el ecosistema de infraestructura militar y de defensa de la India», dijo el investigador de seguridad RD Tarun en un informe publicado el mes pasado.
«Una vez ejecutado, el lanzador malicioso .desktop inicia una cadena de infección basada en shell altamente ofuscada que incluye recuperación de carga útil por etapas, rutinas de decodificación en línea y la implementación de un implante ELF basado en Golang, rastreado en este informe como DeskRAT».
Source link
