El sector de defensa indio y las organizaciones alineadas con el gobierno han sido blanco de múltiples campañas diseñadas para comprometer los entornos Windows y Linux con troyanos de acceso remoto capaces de robar datos confidenciales y garantizar el acceso continuo a las máquinas infectadas.
Las campañas se caracterizan por el uso de familias de malware como Consigue RAT , Área RAT , y Escritorio RAT , que a menudo se atribuyen a grupos de amenazas alineados con Pakistán y rastreados como SideCopy y APT36 (también conocido como Transparent Tribe). Se considera que SideCopy, activa al menos desde 2019, opera como una subdivisión de Transparent Tribe.
«En conjunto, estas campañas refuerzan una narrativa conocida pero en evolución», dijo Aditya K. Sood, vicepresidente de Ingeniería de Seguridad y Estrategia de Inteligencia Artificial de Aryaka, dijo . «Transparent Tribe y SideCopy no están reinventando el espionaje, sino que lo están refinando».
adsense«Al ampliar la cobertura multiplataforma, apoyarse en técnicas que residen en la memoria y experimentar con nuevos vectores de entrega, este ecosistema sigue funcionando por debajo del umbral de ruido y, al mismo tiempo, mantiene un enfoque estratégico».
Todas las campañas tienen en común el uso de correos electrónicos de suplantación de identidad que contienen archivos adjuntos maliciosos o enlaces de descarga integrados que llevan a los posibles objetivos a una infraestructura controlada por los atacantes. Estos mecanismos de acceso iniciales sirven de conducto para acceder a los atajos de Windows (LNK), los archivos binarios de ELF y los archivos de complementos de PowerPoint que, al abrirse, inician un proceso de varias etapas para eliminar los troyanos.
Las familias de malware están diseñadas para proporcionar un acceso remoto persistente, permitir el reconocimiento del sistema, recopilar datos, ejecutar comandos y facilitar las operaciones a largo plazo posteriores a la puesta en peligro en entornos Windows y Linux.
Una de las cadenas de ataque es la siguiente: un archivo LNK malintencionado invoca "mshta.exe" para ejecutar un archivo de aplicación HTML (HTA) alojado en dominios legítimos comprometidos. La carga HTA contiene JavaScript para descifrar una carga útil DLL integrada, que, a su vez, procesa un bloque de datos incrustado para escribir un PDF señuelo en el disco, se conecta a un servidor de comando y control (C2) codificado de forma rígida y muestra el archivo señuelo guardado.
Una vez que se muestra el documento de señuelo, el malware comprueba si hay productos de seguridad instalados y adapta su método de persistencia en consecuencia antes de implementar Geta RAT en el host comprometido. Vale la pena señalar que esta cadena de ataque fue detallada por CIFIRMA e investigador de Seqrite Labs Sathwik Ram Prakki a finales de diciembre de 2025.
Geta RAT admite varios comandos para recopilar información del sistema, enumerar los procesos en ejecución, terminar un proceso específico, enumerar las aplicaciones instaladas, recopilar credenciales, recuperar y reemplazar el contenido del portapapeles con datos proporcionados por el atacante, capturar capturas de pantalla, realizar operaciones con archivos, ejecutar comandos de shell arbitrarios y recopilar datos de dispositivos USB conectados.
Paralelamente a esta campaña centrada en Windows, se ejecuta una variante de Linux que emplea un binario de Go como punto de partida para eliminar un Ares RAT basado en Python mediante un script de shell descargado de un servidor externo. Al igual que Geta RAT, Ares RAT también puede ejecutar una amplia gama de comandos para recopilar datos confidenciales y ejecutar scripts de Python o comandos emitidos por el autor de la amenaza.
enlacesAryaka dijo que también observó otra campaña en la que el malware de Golang, DeskRAT, se entrega a través de un archivo de complemento de PowerPoint no autorizado que ejecuta una macro integrada para establecer una comunicación saliente con un servidor remoto para buscar el malware. El uso de DeskRAT por parte de APT36 fue documentadas de Sekoia y QianXin XLab en octubre de 2025.
«Estas campañas demuestran que un actor de amenazas bien dotado de recursos y centrado en el espionaje ataca deliberadamente a los sectores de defensa, gobierno y estratégico de la India mediante señuelos con temas de defensa, documentos oficiales suplantados e infraestructura de confianza regional», dijo la empresa. «La actividad se extiende más allá de la defensa y abarca a las organizaciones relacionadas con la política, la investigación, la infraestructura crítica y la defensa que operan dentro del mismo ecosistema confiable».
«La implementación de Desk RAT, junto con Geta RAT y Ares RAT, subraya un conjunto de herramientas en evolución optimizado para el sigilo, la persistencia y el acceso a largo plazo».
Post generado automáticamente, fuente oficial de la información: THEHACKERNEWS