La embajada europea en la capital de la India, Nueva Delhi, y múltiples organizaciones en Sri Lanka, Pakistán y Bangladesh surgieron como objetivos de una nueva campaña organizada por el actor de amenazas conocido como SideWinder en septiembre de 2025.
Los investigadores de Trellix, Ernesto Fernández Provecho y Pham Duy Phuc, dijeron en un informe publicado la semana pasada que la actividad «revela una evolución significativa en los TTP de SideWinder, particularmente la adopción de nuevas cadenas de infección basadas en PDF y ClickOnce, además del vector de explotación de Microsoft Word previamente documentado».
El ataque consistió en cuatro correos electrónicos de phishing separados enviados entre marzo y septiembre de 2025, diseñados para eliminar familias de malware como ModuleInstaller y StealerBot para recopilar información confidencial de los hosts comprometidos.
ModuleInstaller actúa como descargador de cargas útiles de la siguiente etapa, como StealerBot, un implante .NET que puede iniciar un shell inverso, distribuir malware adicional y recopilar una amplia gama de datos de hosts comprometidos, incluidas capturas de pantalla, pulsaciones de teclas, contraseñas y archivos.
Tenga en cuenta que Kaspersky documentó públicamente por primera vez ModuleInstaller y StealerBot en octubre de 2024 como parte de un ataque del grupo de piratas informáticos dirigido a empresas de alto perfil e infraestructura estratégica en Medio Oriente y África.
Acronis reveló ataques SideWinder dirigidos a agencias gubernamentales en Sri Lanka, Bangladesh y Pakistán en mayo de 2025. El ataque utilizó un documento que contenía malware que era susceptible a una falla conocida en Microsoft Office para iniciar una cadena de ataque de varias etapas que finalmente entregó StealerBot.
La última serie de ataques dirigidos a embajadas indias, observados por Trellix el 1 de septiembre de 2025, utilizan documentos Microsoft Word y PDF en correos electrónicos de phishing con títulos como «Credenciales de reuniones interagenciales.pdf» y «Conflicto India-Pakistán: análisis estratégico y táctico para mayo de 2025.docx». Los mensajes se envían desde el dominio «mod.gov.bd.pk-mail(.)org» con el objetivo de imitar al Ministerio de Defensa de Pakistán.
«El vector de infección inicial es siempre el mismo: un archivo PDF que la víctima no puede ver correctamente o un documento de Word que contiene algún tipo de exploit», dijo Trellix. «El archivo PDF contiene un botón que solicita a las víctimas que descarguen e instalen la última versión de Adobe Reader para ver el contenido del documento».
Sin embargo, al hacer esto se activa la descarga de una aplicación ClickOnce (‘mofa-gov-bd.filenest(.)live’) desde un servidor remoto, que, cuando se inicia, descarga una DLL maliciosa (‘DEVOBJ.dll’), al mismo tiempo que lanza un documento PDF señuelo contra la víctima.
La aplicación ClickOnce es un archivo ejecutable legítimo (‘ReaderConfiguration.exe’) de MagTek Inc. que pretende ser Adobe Reader y está firmado con una firma válida para evitar generar señales de alerta. Además, las solicitudes al servidor de comando y control (C2) están bloqueadas por región en el sur de Asia y la ruta para descargar la carga útil se genera dinámicamente, lo que complica los esfuerzos de análisis.
La DLL maliciosa está diseñada para descifrar e iniciar un cargador .NET llamado ModuleInstaller, que comienza a crear perfiles del sistema infectado y entrega el malware StealerBot.
Los hallazgos demuestran esfuerzos continuos por parte de los atacantes persistentes para perfeccionar sus técnicas y eludir las defensas de seguridad para lograr sus objetivos.
«La campaña de phishing de múltiples ondas demuestra la adaptabilidad del grupo en la creación de señuelos altamente especializados para una variedad de objetivos diplomáticos y demuestra una comprensión sofisticada del contexto geopolítico», dijo Trellix. «El uso constante de malware personalizado como ModuleInstaller y StealerBot, así como la explotación sofisticada de aplicaciones legítimas para su descarga, resalta el compromiso de SideWinder con técnicas sofisticadas de evasión y objetivos de espionaje».
Source link
