El actor de amenaza conocido como Bitter se califica como un grupo de piratería de apoyo estatal encargado de recopilar inteligencia consistente con los intereses del gobierno indio.
Esto se basa en nuevas encuestas publicadas conjuntamente por PruebePoint y Threatray en un análisis exhaustivo de dos partes.
«Estos diversos conjuntos de herramientas demuestran patrones de codificación consistentes en toda la familia de malware, particularmente en la recopilación de información del sistema y la ofuscación de cadenas», dijeron los investigadores Abdallah Elsinbery, Jonas Wagner, Nick Atfield y Constantine Klinger.
Bitter, también conocido como APT-C-08, APT-Q-37, Tiger brumoso, Orange Yali, T-Papt-17 y TA397, tiene una historia de enfoque principalmente en organizaciones del sur de Asia, con invasiones de elección que también están dirigidos a China, Arabia Saudita y América del Sur.
En diciembre de 2024, revelaron evidencia de actores de amenaza de Turquía que usan familias de malware como WMRAT y Miyarat, lo que indica una expansión geográfica gradual.
Los amargos dicen que con frecuencia eligen «un subconjunto muy pequeño de objetivos», y atacan a los gobiernos de objetivos, entidades diplomáticas y organizaciones de defensa, permitiendo la recopilación de información sobre política exterior o asuntos actuales.
Las cadenas de ataque adjuntas por el grupo generalmente utilizan correos electrónicos de phishing de lanza y se envían junto con mensajes enviados desde proveedores como 163 (.) Com, 126 (.) Com y Proton Mail, así como cuentas comprometidas relacionadas con los gobiernos de Pakistán, Bangladesh y Madagascar.
Los líderes de amenazas también se han observado en estas campañas, posan como gobiernos y grupos diplomáticos en China, Madagascar, Mauricio y Corea del Sur para seducir a los receptores con apegos cubiertos de malware que causan el despliegue de malware.
Descripción general de la cadena de infección amarga
«Según los documentos de contenido y señuelo adoptados, está claro que TA397 no se disfraza de gobiernos en otros países, incluidos los aliados indios», dijo la compañía de seguridad empresarial.
«Los objetivos de TA397 en estas campañas fueron las organizaciones turcas y chinas en Europa, lo que indica que el grupo tiene conocimiento y visibilidad del trabajo legítimo de Madagascar y Mauricio, y utiliza materiales en lecciones de lanza».
Además, se ha encontrado que Bitter se involucra en actividades de teclado en dos campañas diferentes que se dirigen a organizaciones gubernamentales a eliminar más enumeraciones sobre anfitriones objetivo como Kugelblitz y Bdarkrat, que se documentaron por primera vez en 2019.
Tiene características estándar de troyanos de acceso remoto, como recopilar información del sistema, ejecutar comandos de shell, descargar archivos y administrar archivos en hosts comprometidos.
Familia de malware de Bitter’s
Algunas de las otras herramientas conocidas en ese arsenal están a continuación –
Artradownloader es un descargador escrito C ++ que recopila información del sistema, descarga y ejecuta un keylogger de archivo remoto utilizando solicitudes HTTP y registra pulsaciones de teclas y contenido de portapapeles WSCSPL Backdoors, que son módulos C ++ utilizados en varias campañas. (también conocido como ZXXZ), un caballo troyano que permite la ejecución de código remoto de las cargas útiles recibidas del servidor remoto Almond Rat, un caballo de .NET Trojan que proporciona capacidades básicas de recopilación de datos y la capacidad de ejecutar cualquier comando y ejecutar cualquier archivo, un trasero opcackdoor que se comunica con el controlador de operador con el ajuste de los archivos de los archivos de acero para que el acero del acero del acero del acero del acero del acero del acero del acero del acero del acero del acero del acero del acero del acero del acero del acero del acero del acero del acero del acero de los archivos de los archivos que se ve en el acero del acero de los archivos. Conjuntos de extensiones y los elimina al servidor remoto Kugelblitz, un cargador de shellcode que se ha cambiado en el último año y se utiliza para implementar el marco HAVOC C2.
Cabe señalar que Orpcbackdoor proviene de un equipo de la SEC 404 conocido por los actores de amenaza llamados elefantes misteriosos, que se superponen con otros grupos de amenazas forrados de la India como Sidewinder, Patchwork, Confucius y Bitter.
El análisis de la actividad de teclado práctico destaca «Horario de trabajo de lunes a viernes en la zona horaria estándar de la India (IST)». Esto coincide con el momento en que se produce el registro de dominio Whois y la emisión del certificado TLS.
«TA397 es un actor de amenaza centrado en el espionaje, que es muy probable que opere en nombre de la agencia de informes de inteligencia de la India», dijo el investigador. «Existen indicaciones claras de que la mayoría de las actividades relacionadas con la infraestructura ocurrirán durante las horas de apertura estándar en la zona horaria de IST».
Source link
