El actor de amenazas conocido como Transparent Tribe se ha atribuido a una nueva serie de ataques dirigidos a entidades gubernamentales, académicas y estratégicas de la India con un troyano de acceso remoto (RAT) que les otorga un control persistente sobre los hosts comprometidos.
«La campaña emplea técnicas de entrega engañosas, incluido un archivo de acceso directo de Windows (LNK) disfrazado de un documento PDF legítimo e incrustado con contenido PDF completo para evadir las sospechas del usuario», CYFIRMA dicho en un informe técnico.
Transparent Tribe, también llamado APT36, es un grupo de hackers conocido por montar campañas de ciberespionaje contra organizaciones indias. Considerado de origen indio, el adversario patrocinado por el Estado ha estado activo desde al menos 2013.
El actor de amenazas se jacta de tener un arsenal de RAT en constante evolución para lograr sus objetivos. Algunos de los troyanos utilizados por Transparent Tribe en los últimos años incluyen CapraRAT, RATA carmesí, ElizaRATy EscritorioRAT.
El último conjunto de ataques comenzó con un correo electrónico de phishing que contenía un archivo ZIP con un archivo LNK disfrazado de PDF. Al abrir el archivo se activa la ejecución de un script de aplicación HTML (HTA) remoto utilizando «mshta.exe» que descifra y carga la carga útil RAT final directamente en la memoria. Al mismo tiempo, la HTA descarga y abre un documento PDF señuelo para no despertar sospechas de los usuarios.
«Una vez establecida la lógica de decodificación, HTA aprovecha los objetos ActiveX, particularmente WScript.Shell, para interactuar con el entorno de Windows», señaló CYFIRMA. «Este comportamiento demuestra la elaboración de perfiles del entorno y la manipulación del tiempo de ejecución, lo que garantiza la compatibilidad con el sistema de destino y aumenta las técnicas de confiabilidad de ejecución comúnmente observadas en el malware que abusa de 'mshta.exe'».
Un aspecto digno de mención del malware es su capacidad para adaptar su método de persistencia en función de las soluciones antivirus instaladas en la máquina infectada.
- Si se detecta Kapsersky, crea un directorio de trabajo en «C:\Users\Public\core\», escribe una carga útil HTA ofuscada en el disco y establece persistencia colocando un archivo LNK en la carpeta de inicio de Windows que, a su vez, inicia el script HTA usando «mshta.exe».
- Si se detecta Quick Heal, establece persistencia creando un archivo por lotes y un archivo LNK malicioso en la carpeta de inicio de Windows, escribiendo la carga útil de HTA en el disco y luego llamándolo usando el script por lotes.
- Si se detecta Avast, AVG o Avira, funciona copiando directamente la carga útil en el directorio de Inicio y ejecutándola
- Si no se detecta ninguna solución antivirus reconocida, se recurre a una combinación de ejecución de archivos por lotes, persistencia basada en el registro e implementación de carga útil antes de iniciar el script por lotes.
El segundo archivo HTA incluye una DLL llamada «iinneldc.dll» que funciona como una RAT con todas las funciones y admite el control remoto del sistema, la gestión de archivos, la filtración de datos, la captura de capturas de pantalla, la manipulación del portapapeles y el control de procesos.
«APT36 (Transparent Tribe) sigue siendo una amenaza de ciberespionaje altamente persistente y estratégicamente impulsada, con un enfoque sostenido en la recopilación de inteligencia dirigida a entidades gubernamentales indias, instituciones educativas y otros sectores estratégicamente relevantes», dijo la compañía de ciberseguridad.
En las últimas semanas, APT36 también se ha vinculado a otra campaña que aprovecha un archivo de acceso directo malicioso disfrazado de PDF de asesoramiento gubernamental («NCERT-Whatsapp-Advisory.pdf.lnk») para entregar un cargador basado en .NET, que luego descarga ejecutables adicionales y DLL maliciosos para establecer la ejecución remota de comandos, el reconocimiento del sistema y el acceso a largo plazo.
El acceso directo está diseñado para ejecutar un comando ofuscado usando cmd.exe para recuperar un instalador MSI («nikmights.msi») desde un servidor remoto («aeroclubofindia.co[.]in»), que se encarga de iniciar una serie de acciones –
- Extraiga y muestre un documento PDF señuelo a la víctima
- Decodifica y escribe archivos DLL en «C:\ProgramData\PcDirvs\pdf.dll» y «C:\ProgramData\PcDirvs\wininet.dll»
- Coloque «PcDirvs.exe» en la misma ubicación y ejecútelo después de un retraso de 10 segundos.
- Establezca persistencia creando «PcDirvs.hta» que contiene Visual Basic Script para realizar modificaciones en el Registro para iniciar «PcDirvs.exe» cada vez que se inicia el sistema.
Vale la pena señalar que el PDF del señuelo que se muestra es un asesoramiento legítimo emitido por el Equipo Nacional de Respuesta a Emergencias Cibernéticas de Pakistán (PKCERT) en 2024 sobre una campaña fraudulenta de mensajes de WhatsApp dirigida a entidades gubernamentales de Pakistán con un archivo WinRAR malicioso que infecta sistemas con malware.
La DLL «wininet.dll» se conecta a una infraestructura de comando y control (C2) codificada y alojada en dns.wmiprovider.[.]com. Se registró a mediados de abril de 2025. El C2 asociado con la actividad está actualmente inactivo, pero la persistencia basada en el Registro de Windows garantiza que la amenaza pueda resucitar en cualquier momento en el futuro.
«La DLL implementa múltiples puntos finales basados en HTTP GET para establecer comunicación con el servidor C2, realizar actualizaciones y recuperar comandos emitidos por el atacante», CYFIRMA dicho. «Para evadir la detección de cadenas estáticas, los caracteres del punto final se almacenan intencionalmente en orden inverso».
La lista de puntos finales es la siguiente:
- /retsiger (registro), para registrar el sistema infectado en el servidor C2
- /taebtraeh (latido del corazón), para señalar su presencia al servidor C2
- /dnammoc_teg (get_command), para ejecutar comandos arbitrarios a través de «cmd.exe»
- /dnammocmvitna (antivmcommand), para consultar o establecer un estado anti-VM y probablemente ajustar el comportamiento
La DLL también consulta los productos antivirus instalados en el sistema víctima, convirtiéndolo en una potente herramienta capaz de realizar reconocimientos y recopilar información confidencial.
Patchwork vinculado al nuevo troyano StreamSpy
La revelación se produce semanas después. Labor de retazos (también conocido como Dejar caer elefante o hierba Maha), un grupo de hackers que se cree es de origen indio, estaba vinculado a ataques dirigidos al sector de defensa de Pakistán con una puerta trasera basada en Python que se distribuye a través de correos electrónicos de phishing que contienen archivos ZIP. de acuerdo a al investigador de seguridad Idan Tarab.
Dentro del archivo está presente un proyecto de MSBuild que, cuando se ejecuta a través de «msbuild.exe», implementa un cuentagotas para finalmente instalar e iniciar Python RAT. El malware está equipado para contactar un servidor C2 y ejecutar módulos Python remotos, ejecutar comandos y cargar/descargar archivos.
«Esta campaña representa un conjunto de herramientas Patchwork APT modernizado y altamente ofuscado que combina MSBuild LOLBin cargadores, tiempos de ejecución de Python modificados por PyInstaller, implantes de código de bytes ordenados, geocercas, puntos finales PHP C2 aleatorios, [and] mecanismos de persistencia realistas», dijo Tarab.
A partir de diciembre de 2025, Patchwork también ha sido asociado con un troyano no documentado anteriormente llamado StreamSpy, que utiliza los protocolos WebSocket y HTTP para la comunicación C2. Mientras que el canal WebSocket se utiliza para recibir instrucciones y transmitir los resultados de la ejecución, HTTP se aprovecha para las transferencias de archivos.
Los vínculos de StreamSpy con Patchwork, según QiAnXin, se derivan de sus similitudes con espíauna variante de otra puerta trasera llamada GuerraHawk eso se atribuye a enrollador lateral. El uso de Spider por parte de Patchwork se remonta a 2023.
Distribuido a través de archivos ZIP («OPS-VII-SIR.zip») alojados en «firebasescloudemail[.]com», el malware («Anexo.exe«) puede recopilar información del sistema, establecer persistencia a través del Registro de Windows, tareas programadas o mediante un archivo LNK en la carpeta de Inicio, comunicarse con el servidor C2 mediante HTTP y WebSocket. La lista de comandos de soporte se encuentra a continuación:
- F1A5C3, para descargar un archivo y abrirlo usando ShellExecuteExW
- B8C1D2, para configurar el shell para la ejecución de comandos en cmd
- E4F5A6, para configurar el shell para la ejecución de comandos en PowerShell
- FL_SH1, para cerrar todos los shells
- C9E3D4, E7F8A9, H1K4R8, C0V3RT, para descargar archivos zip cifrados desde el servidor C2, extraerlos y abrirlos usando ShellExecuteExW
- F2B3C4, para recopilar información sobre el sistema de archivos y todos los discos conectados al dispositivo
- D5E6F7, para realizar la carga y descarga de archivos
- A8B9C0, para realizar la carga de archivos
- D1E2F3, para eliminar un archivo
- A4B5C6, para cambiar el nombre de un archivo
- D7E8F9, para enumerar una carpeta específica
QinAnXin dijo que el sitio de descarga de StreamSpy también alberga variantes de Spyder con amplias funciones de recopilación de datos, y agregó que la firma digital del malware muestra correlaciones con una versión diferente. rata de Windows llamado Agente de la sombra atribuido hacia Equipo no hacer (también conocido como Brainworm). Curiosamente, 360 Threat Intelligence Center marcado el mismo ejecutable «Annexure.exe» que ShadowAgent en noviembre de 2025.
«La aparición de las variantes del troyano StreamSpy y Spyder del grupo Maha Grass indica que el grupo está iterando continuamente su arsenal de herramientas de ataque», dijo el proveedor de seguridad chino.
«En el troyano StreamSpy, los atacantes intentan utilizar canales WebSocket para emitir comandos y retroalimentación de resultados para evadir la detección y censura del tráfico HTTP. Además, las muestras correlacionadas confirman además que Maha Grass y No Los grupos de ataque tienen algunas conexiones en términos de compartir recursos».
Fuente