Una embajada europea ubicada en la capital india de Nueva Delhi, así como múltiples organizaciones en Sri Lanka, Pakistán y Bangladesh, se han convertido en el objetivo de una nueva campaña orquestada por un actor de amenazas conocido como enrollador lateral en septiembre de 2025.
La actividad «revela una evolución notable en los TTP de SideWinder, en particular la adopción de un novedoso PDF y Haga clic una vezcadena de infección basada en Microsoft Word, además de sus vectores de explotación de Microsoft Word previamente documentados», afirman los investigadores de Trellix Ernesto Fernández Provecho y Pham Duy Phuc dicho en un informe publicado la semana pasada.
Los ataques, que implicaron el envío de correos electrónicos de phishing en cuatro oleadas desde marzo hasta septiembre de 2025, están diseñados para eliminar familias de malware como ModuleInstaller y StealerBot para recopilar información confidencial de los hosts comprometidos.
Si bien ModuleInstaller sirve como descargador de cargas útiles de la siguiente etapa, incluido StealerBot, este último es un implante .NET que puede iniciar un shell inverso, entregar malware adicional y recopilar una amplia gama de datos de hosts comprometidos, incluidas capturas de pantalla, pulsaciones de teclas, contraseñas y archivos.
Cabe señalar que tanto ModuleInstaller como StealerBot fueron los primeros documentado públicamente por Kaspersky en octubre de 2024 como parte de los ataques organizados por el grupo de piratas informáticos contra entidades de alto perfil e infraestructuras estratégicas en Medio Oriente y África.
En mayo de 2025, Acronis reveló Los ataques de SideWinder estaban dirigidos a instituciones gubernamentales en Sri Lanka, Bangladesh y Pakistán utilizando documentos cargados de malware susceptibles a fallas conocidas de Microsoft Office para lanzar una cadena de ataques de múltiples etapas y, en última instancia, entregar StealerBot.
El último conjunto de ataques, observado por Trellix después del 1 de septiembre de 2025 y dirigido a embajadas indias, implica el uso de documentos Microsoft Word y PDF en correos electrónicos de phishing con títulos como «Credenciales de reunión interministerial.pdf» o «Conflicto India-Pakistán: análisis estratégico y táctico de mayo de 2025.docx». Los mensajes se envían desde el dominio «mod.gov.bd.pk-mail[.]org» en un intento de imitar al Ministerio de Defensa de Pakistán.
«El vector de infección inicial es siempre el mismo: un archivo PDF que la víctima no puede ver correctamente o un documento de Word que contiene algún exploit», dijo Trellix. «Los archivos PDF contienen un botón que insta a la víctima a descargar e instalar la última versión de Adobe Reader para ver el contenido del documento».
Sin embargo, al hacerlo, se activa la descarga de una aplicación ClickOnce desde un servidor remoto («mofa-gov-bd.filenest[.]live»), que, cuando se inicia, descarga una DLL maliciosa («DEVOBJ.dll») y, al mismo tiempo, lanza un documento PDF señuelo para las víctimas.
La aplicación ClickOnce es un ejecutable legítimo de MagTek Inc. («ReaderConfiguration.exe») que se hace pasar por Adobe Reader y está firmado con una firma válida para evitar generar señales de alerta. Además, las solicitudes al servidor de comando y control (C2) están bloqueadas por región en el sur de Asia y la ruta para descargar la carga útil se genera dinámicamente, lo que complica los esfuerzos de análisis.
La DLL maliciosa, por su parte, está diseñada para descifrar e iniciar un cargador .NET llamado ModuleInstaller, que luego procede a perfilar el sistema infectado y entregar el malware StealerBot.
Los hallazgos indican un esfuerzo continuo por parte de los actores de amenazas persistentes para refinar su modus operandi y eludir las defensas de seguridad para lograr sus objetivos.
«Las múltiples campañas de phishing demuestran la adaptabilidad del grupo a la hora de crear señuelos muy específicos para diversos objetivos diplomáticos, lo que indica una comprensión sofisticada de los contextos geopolíticos», dijo Trellix. «El uso constante de malware personalizado, como ModuleInstaller y StealerBot, junto con la explotación inteligente de aplicaciones legítimas para la carga lateral, subraya el compromiso de SideWinder con técnicas sofisticadas de evasión y objetivos de espionaje».
Fuente