Se ha observado que un actor de amenaza con lazos con Pakistán dirige a varios sectores en la India con varios troyanos de paso remoto como Xeno Rat, Spark Rat y una grupo de malware previamente indocumentada convocatoria Rata rizada.
La actividad, detectada por Seqrite en diciembre de 2024, dirigió a las entidades indias bajo los ministerios de ferrocarril, petróleo y gas, y asuntos externos, que marcan una expansión de la huella de la tripulación de piratería más allá del gobierno, la defensa, los sectores marítimos y las universidades.
«Un cambio sobresaliente en las campañas recientes es la transición del uso de archivos de aplicación HTML (HTA) a la acogida de los paquetes de Microsoft Installer (MSI) como un mecanismo primario de puesta en espectáculo», dijo el investigador de seguridad Sathwik Ram Prakki.
Se sospecha que Sidecopy es un subgrupo interiormente de la tribu transparente (asimismo conocida como APT36) que está activa desde al menos 2019. Se flama así por imitar las cadenas de ataque asociadas con otro actor de amenaza llamado Sidewinder para entregar sus propias cargas bártulos.
En junio de 2024, SeqRite destacó el uso de archivos HTA ofuscados por parte de Sidecopy, aprovechando técnicas previamente observadas en ataques Sidewinder. Incluso se encontró que los archivos contenían referencias a URL que alojaban archivos RTF identificados como utilizados por SideWinder.
Los ataques culminaron en el despliegue de Action Rat y Reverserat, dos familias de malware conocidas atribuidas a Sidecopy, y varias otras cargas bártulos, incluida Cheex para robar documentos e imágenes, una copiadora USB para desviar los datos de las unidades adjuntas y una rata Geta basada en .NET que es capaz de ejecutar 30 comandos enviados desde un servidor remoto.
La rata está equipada para robar los datos del navegador de Firefox y Chromium de todas las cuentas, perfiles y cookies, una característica prestada de Asyncrat.
«El enfoque APT36 es principalmente sistemas Linux, mientras que Sidecopy se dirige a los sistemas de Windows que agregan nuevas cargas bártulos a su conjunto», señaló Seqrite en ese momento.
Los últimos hallazgos demuestran una maduración continua del camarilla de piratería, que entran en sí mismos, al tiempo que aprovecha el phishing basado en el correo electrónico como un vector de distribución para malware. Estos mensajes de correo electrónico contienen varios tipos de documentos de señuelos, que van desde listas de receso para el personal ferroviario hasta las pautas de seguridad cibernética emitidas por una empresa del sector conocido convocatoria Hindustan Petroleum Corporation Limited (HPCL).
Un clúster de actividad es particularmente sobresaliente dada su capacidad para dirigirse a los sistemas Windows y Linux, que en última instancia, lo que lleva a la implementación de un troyano de paso remoto de plataforma cruzada conocida como Spark RAT y una nueva rata de malware con nombre de malware basado en Windows que puede compendiar información del sistema, descargar archivos del host, ejecutar comandos arbitrarios, privilegios elevados y listas de cuentas de usuarios de usuarios.
Se ha observado un segundo clúster utilizando los archivos de señuelo como una forma de iniciar un proceso de infección de varios pasos que deja caer una lectura personalizada de Xeno Rat, que incorpora métodos básicos de manipulación de cadenas.
«El camarilla ha cambiado de usar archivos HTA a paquetes MSI como un mecanismo de puesta en preparación primaria y continúa empleando técnicas avanzadas como la carga vecino de DLL, la carga reflectante y el descifrado de AES a través de PowerShell», dijo la compañía.
«Encima, están aprovechando herramientas personalizadas de código rajado como Xeno Rat y Spark Rat, anejo con el despliegue de la rata rizada recientemente identificada. Los dominios comprometidos y los sitios falsos se están utilizando para el alojamiento de phishing y carga útil de credenciales, destacando los esfuerzos continuos del camarilla para mejorar la persistencia y evitar la detección».
