Una embajada europea ubicada en la renta india de Nueva Delhi, así como múltiples organizaciones en Sri Lanka, Pakistán y Bangladesh, se han convertido en el objetivo de una nueva campaña orquestada por un actor de amenazas conocido como enrollador vecino en septiembre de 2025.
La actividad «revela una progreso importante en los TTP de SideWinder, particularmente la apadrinamiento de una novedosa cautiverio de infección basada en PDF y ClickOnce, encima de sus vectores de explotación de Microsoft Word previamente documentados», dijeron los investigadores de Trellix Ernesto Fernández Provecho y Pham Duy Phuc en un documentación publicado la semana pasada.
Los ataques, que implicaron el remesa de correos electrónicos de phishing en cuatro oleadas desde marzo hasta septiembre de 2025, están diseñados para eliminar familias de malware como ModuleInstaller y StealerBot para compilar información confidencial de los hosts comprometidos.
Si admisiblemente ModuleInstaller sirve como descargador de cargas efectos de la ulterior etapa, incluido StealerBot, este final es un implante .NET que puede iniciar un shell inverso, entregar malware adicional y compilar una amplia abanico de datos de hosts comprometidos, incluidas capturas de pantalla, pulsaciones de teclas, contraseñas y archivos.
Junto a señalar que Kaspersky documentó públicamente por primera vez tanto ModuleInstaller como StealerBot en octubre de 2024 como parte de ataques organizados por el especie de piratas informáticos dirigidos a entidades de parada perfil e infraestructuras estratégicas en Medio Oriente y África.
En mayo de 2025, Acronis reveló los ataques de SideWinder dirigidos a instituciones gubernamentales en Sri Lanka, Bangladesh y Pakistán utilizando documentos cargados de malware susceptibles a fallas conocidas de Microsoft Office para divulgar una cautiverio de ataques de varias etapas y, en última instancia, entregar StealerBot.
El final conjunto de ataques, observado por Trellix posteriormente del 1 de septiembre de 2025 y dirigido a embajadas indias, implica el uso de documentos Microsoft Word y PDF en correos electrónicos de phishing con títulos como «Credenciales de reunión interministerial.pdf» o «Conflicto India-Pakistán: descomposición decisivo y táctico de mayo de 2025.docx». Los mensajes se envían desde el dominio «mod.gov.bd.pk-mail(.)org» en un intento de imitar al Empleo de Defensa de Pakistán.
«El vector de infección auténtico es siempre el mismo: un archivo PDF que la víctima no puede ver correctamente o un documento de Word que contiene algún exploit», dijo Trellix. «Los archivos PDF contienen un yema que insta a la víctima a descargar e instalar la última lectura de Adobe Reader para ver el contenido del documento».
Sin confiscación, al hacerlo, se activa la descarga de una aplicación ClickOnce desde un servidor remoto («mofa-gov-bd.filenest(.)live»), que, cuando se inicia, descarga una DLL maliciosa («DEVOBJ.dll»), al mismo tiempo que vara un documento PDF señuelo para las víctimas.
La aplicación ClickOnce es un ejecutable auténtico de MagTek Inc. («ReaderConfiguration.exe») que se hace ocurrir por Adobe Reader y está firmado con una firma válida para evitar ocasionar señales de alerta. Encima, las solicitudes al servidor de comando y control (C2) están bloqueadas por región en el sur de Asia y la ruta para descargar la carga útil se genera dinámicamente, lo que complica los esfuerzos de descomposición.
La DLL maliciosa, por su parte, está diseñada para descifrar e iniciar un cargador .NET llamado ModuleInstaller, que luego procede a perfilar el sistema infectado y entregar el malware StealerBot.
Los hallazgos indican un esfuerzo continuo por parte de los actores de amenazas persistentes para refinar su modus operandi y eludir las defensas de seguridad para ganar sus objetivos.
«Las múltiples campañas de phishing demuestran la adaptabilidad del especie a la hora de crear señuelos muy específicos para diversos objetivos diplomáticos, lo que indica una comprensión sofisticada de los contextos geopolíticos», dijo Trellix. «El uso constante de malware personalizado, como ModuleInstaller y StealerBot, conexo con la explotación inteligente de aplicaciones legítimas para la carga vecino, subraya el compromiso de SideWinder con técnicas sofisticadas de diversión y objetivos de espionaje».
