Las entidades del gobierno indio han sido blanco de dos campañas emprendidas por un actor de amenazas que opera en Pakistán utilizando artesanía previamente indocumentada.
Las campañas han recibido el nombre en clave. Golpe de tuza y Ataque de hoja por Zscaler ThreatLabz, que los identificó en septiembre de 2025.
«Aunque estas campañas comparten algunas similitudes con el grupo Amenaza Persistente Avanzada (APT) vinculado a Pakistán, APT36«, evaluamos con un nivel de confianza medio que la actividad identificada durante este análisis podría originarse en un nuevo subgrupo u otro grupo vinculado a Pakistán que opera en paralelo», afirman los investigadores Sudeep Singh y Yin Hong Chang. dicho.
Sheet Attack recibe su nombre del uso de servicios legítimos como Google Sheets, Firebase y correo electrónico para comando y control (C2). Por otro lado, se estima que Gopher Strike aprovechó los correos electrónicos de phishing como punto de partida para entregar documentos PDF que contienen una imagen borrosa superpuesta por una ventana emergente aparentemente inofensiva que indica al destinatario que descargue una actualización para Adobe Acrobat Reader DC.
El objetivo principal de la imagen es dar a los usuarios la impresión de que es necesario instalar la actualización para poder acceder al contenido del documento. Al hacer clic en el botón «Descargar e instalar» en el cuadro de diálogo de actualización falsa, se activa la descarga de un archivo de imagen ISO solo cuando las solicitudes se originan en direcciones IP ubicadas en la India y el Cadena de agente de usuario Corresponde a Windows.
«Estas comprobaciones del lado del servidor evitan que las herramientas automáticas de análisis de URL obtengan el archivo ISO, asegurando que el archivo malicioso sólo se entregue a los objetivos previstos», dijo Zscaler.
La carga útil maliciosa incrustada en la imagen ISO es un descargador basado en Golang denominado GOGITTER que es responsable de crear un archivo de Visual Basic Script (VBScript) si aún no existe en las siguientes ubicaciones: «C:\Users\Public\Downloads», «C:\Users\Public\Pictures» y «%APPDATA%». El script está diseñado para recuperar comandos VBScript cada 30 segundos desde dos servidores C2 preconfigurados.
GOGITTER también configura la persistencia mediante una tarea programada que está configurada para ejecutar el archivo VBScript antes mencionado cada 50 minutos. Además, determina la presencia de otro archivo llamado «adobe_update.zip» en las mismas tres carpetas. Si el archivo ZIP no está presente, extrae el archivo de un repositorio privado de GitHub («github[.]com/jaishankai/sockv6»). La cuenta de GitHub se creó el 7 de junio de 2025.
Una vez que la descarga se realiza correctamente, la cadena de ataque envía una solicitud HTTP GET al dominio «adobe-acrobat[.]in» probablemente indique a los actores de amenazas que el punto final ha sido infectado. GOGITTER luego extrae y ejecuta «edgehost.exe» del archivo ZIP. Una puerta trasera liviana basada en Golang, GITSHELLPAD, aprovecha los repositorios privados de GitHub controlados por actores de amenazas para C2.
Específicamente, sondea el servidor C2 cada 15 segundos mediante una solicitud GET para acceder al contenido de un archivo llamado «command.txt». Admite seis comandos diferentes:
- cd ..para cambiar el directorio de trabajo al directorio principal
- cdpara cambiar el directorio a la ruta especificada
- correrpara ejecutar un comando en segundo plano sin capturar la salida
- subirpara cargar un archivo local especificado por la ruta al repositorio de GitHub
- descargarpara descargar un archivo a la ruta especificada
- caso predeterminadopara ejecutar un comando usando cmd /c y capturar el resultado
Los resultados de la ejecución del comando se almacenan en un archivo llamado «result.txt» y se cargan en la cuenta de GitHub mediante una solicitud HTTP PUT. Luego, el «command.txt» se elimina del repositorio de GitHub una vez que el comando se ejecuta correctamente.
Zscaler dijo que observó que el actor de amenazas también descargaba archivos RAR usando comandos cURL después de obtener acceso a la máquina de la víctima. Los archivos incluyen utilidades para recopilar información del sistema y descargar GOSHELL, un cargador personalizado basado en Golang que se utiliza para entregar Cobalt Strike Beacon después de múltiples rondas de decodificación. Las herramientas se limpian de la máquina después de su uso.
«El tamaño de GOSHELL fue inflado artificialmente a aproximadamente 1 gigabyte agregando bytes basura a la superposición del Ejecutable Portátil (PE), probablemente para evadir la detección por el software antivirus», dijo la compañía de ciberseguridad. «GOSHELL sólo se ejecuta en nombres de host específicos comparando el nombre de host de la víctima con una lista codificada».
Fuente