El sector de defensa indio y las organizaciones alineadas con el gobierno han sido blanco de múltiples campañas diseñadas para comprometer los entornos Windows y Linux con troyanos de acceso remoto capaces de robar datos confidenciales y garantizar el acceso continuo a las máquinas infectadas.
Las campañas se caracterizan por el uso de familias de malware como Geta RAT, Ares RAT y DeskRAT, que a menudo se atribuyen a grupos de amenazas alineados con Pakistán rastreados como SideCopy y APT36 (también conocido como Transparent Tribe). Se evalúa que SideCopy, activo desde al menos 2019, funcione como una subdivisión de Transparent Tribe.
«En conjunto, estas campañas refuerzan una narrativa familiar pero en evolución», dijo Aditya K. Sood, vicepresidente de Ingeniería de Seguridad y Estrategia de IA de Aryaka. «Transparent Tribe y SideCopy no están reinventando el espionaje, sino que lo están perfeccionando».
«Al ampliar la cobertura multiplataforma, apoyarse en técnicas residentes en la memoria y experimentar con nuevos vectores de entrega, este ecosistema continúa operando por debajo del nivel de ruido mientras mantiene el enfoque estratégico».
Todas las campañas tienen en común el uso de correos electrónicos de phishing que contienen archivos adjuntos maliciosos o enlaces de descarga integrados que conducen a posibles objetivos a la infraestructura controlada por el atacante. Estos mecanismos de acceso inicial sirven como conducto para los accesos directos de Windows (LNK), los archivos binarios ELF y los archivos complementarios de PowerPoint que, cuando se abren, inician un proceso de varias etapas para eliminar los troyanos.
Las familias de malware están diseñadas para proporcionar acceso remoto persistente, permitir el reconocimiento del sistema, recopilar datos, ejecutar comandos y facilitar operaciones posteriores al compromiso a largo plazo en entornos Windows y Linux.
Una de las cadenas de ataque es la siguiente: un archivo LNK malicioso invoca «mshta.exe» para ejecutar un archivo de aplicación HTML (HTA) alojado en dominios legítimos comprometidos. La carga útil de HTA contiene JavaScript para descifrar una carga útil de DLL incorporada, que, a su vez, procesa un blob de datos incorporado para escribir un PDF señuelo en el disco, se conecta a un servidor de comando y control (C2) codificado y muestra el archivo señuelo guardado.
Después de que se muestra el documento señuelo, el malware busca productos de seguridad instalados y adapta su método de persistencia en consecuencia antes de implementar Geta RAT en el host comprometido. Vale la pena señalar que esta cadena de ataque fue detallada por el investigador de CYFIRMA y Seqrite Labs, Sathwik Ram Prakki, a finales de diciembre de 2025.
Geta RAT admite varios comandos para recopilar información del sistema, enumerar procesos en ejecución, finalizar un proceso específico, enumerar aplicaciones instaladas, recopilar credenciales, recuperar y reemplazar el contenido del portapapeles con datos proporcionados por el atacante, capturar capturas de pantalla, realizar operaciones con archivos, ejecutar comandos de shell arbitrarios y recopilar datos de dispositivos USB conectados.
Paralelamente a esta campaña centrada en Windows hay una variante de Linux que emplea un binario Go como punto de partida para eliminar un Ares RAT basado en Python mediante un script de shell descargado desde un servidor externo. Al igual que Geta RAT, Ares RAT también puede ejecutar una amplia gama de comandos para recopilar datos confidenciales y ejecutar scripts de Python o comandos emitidos por el actor de la amenaza.
Aryaka dijo que también observó otra campaña en la que el malware Golang, DeskRAT, se entrega a través de un archivo complementario de PowerPoint no autorizado que ejecuta una macro integrada para establecer comunicación saliente con un servidor remoto para recuperar el malware. El uso de DeskRAT por parte de APT36 fue documentado por Sekoia y QiAnXin XLab en octubre de 2025.
«Estas campañas demuestran un actor de amenazas con buenos recursos y centrado en el espionaje que apunta deliberadamente a la defensa, el gobierno y los sectores estratégicos de la India a través de señuelos con temas de defensa, documentos oficiales suplantados e infraestructura de confianza regional», dijo la compañía. «La actividad se extiende más allá de la defensa, hacia políticas, investigación, infraestructura crítica y organizaciones adyacentes a la defensa que operan dentro del mismo ecosistema confiable».
«La implementación de Desk RAT, junto con Geta RAT y Ares RAT, subraya un conjunto de herramientas en evolución optimizado para el sigilo, la persistencia y el acceso a largo plazo».