Las instituciones gubernamentales de stop nivel en Sri Lanka, Bangladesh y Pakistán se han convertido en el objetivo de una nueva campaña orquestada por un actor de amenaza conocido como Sidewinder.
«Los atacantes utilizaron correos electrónicos de phishing de lanceta combinados con cargas bártulos geofencionadas para certificar que solo las víctimas en países específicos recibieran el contenido taimado», dijeron en un noticia de los investigadores de Acronis Santiago Pontiroli, Jozsef Gegeny y Prakas Thevendaran en un noticia que compartieron con The Hacker News.
Las cadenas de ataque aprovechan los señuelos de phishing de lanceta como punto de partida para activar el proceso de infección y implementar un malware conocido denominado StealerBot. Vale la pena señalar que el modus operandi es consistente con los recientes ataques de compras documentados por Kaspersky en marzo de 2025.
Algunos de los objetivos de la campaña, según Acronis, incluyen la Comisión Reguladora de Telecomunicaciones de Bangladesh, el Ocupación de Defensa y el Ocupación de Finanzas; Dirección de Pakistán de avance técnico indígena; y el Unidad de Posibles Externos de Sri Lanka, Unidad de Operaciones del Fortuna, Ocupación de Defensa y Porción Central.
Los ataques se caracterizan por el uso de fallas de ejecución de código remoto de primaveras en la oficina de Microsoft (CVE-2017-0199 y CVE-2017-11882) como vectores iniciales para implementar malware capaz de permanecer el golpe persistente en entornos gubernamentales en todo el sur de Asia.
Los documentos maliciosos, cuando se abren, activan un exploit para CVE-2017-0199 para entregar cargas bártulos de la próxima etapa responsables de instalar StealerBot mediante técnicas de carga supletorio DLL.
Una táctica trascendental adoptada por Sidewinder es que los correos electrónicos de phishing de lanceta se combinan con cargas bártulos geofenciadas para certificar que solo las víctimas que cumplan con los criterios de orientación reciban el contenido taimado. En el caso de que la dirección IP de la víctima no coincida, se envía un archivo RTF malogrado como un señuelo.
La carga útil maliciosa es un archivo RTF que armaba CVE-2017-11882, una vulnerabilidad de corrupción de memoria en el editor de ecuaciones, para difundir un cargador basado en shellcode que ejecuta el malware de strealerbot.
STEALERBOT, según Kaspersky, es un implante .NET que está diseñado para soltar malware adicional, difundir un shell inverso y compendiar una amplia tonalidad de datos de hosts comprometidos, incluidas capturas de pantalla, pulsaciones de teclas, contraseñas y archivos.
«Sidewinder ha demostrado una actividad constante con el tiempo, manteniendo un ritmo constante de operaciones sin inactividad prolongada, un patrón que refleja la continuidad organizacional y la intención sostenida», dijeron los investigadores.
«Un investigación más detallado de sus tácticas, técnicas y procedimientos (TTP) revela un stop punto de control y precisión, asegurando que las cargas bártulos maliciosas se entreguen solo a objetivos cuidadosamente seleccionados, y a menudo solo por un tiempo definido».
