Se ha observado que un actor de amenaza con presuntos lazos con la India dirige a un Ministerio de Asuntos Exteriores europeos con malware capaz de recolectar datos confidenciales de huéspedes comprometidos.
La actividad ha sido atribuida por Trellix Advanced Research Center a un grupo avanzado de amenaza persistente (APT) llamado Donot Team, que también se conoce como APT-C-35, Mint Tempest, Origami Elephant, Sector02 y Viceroy Tiger. Se ha evaluado que está activo desde 2016.
«Donot APT es conocido por usar malware de Windows personalizado, incluidos puertas traseras como YTY y GEDIT, a menudo entregadas a través de correos electrónicos de phishing o documentos maliciosos», los investigadores de Trellix Aniket Choukde, Aparna Aripirala, Alisha Kadam, Akhil Reddy, Pham Duy Phuc y Alex Lanstin.
«Este grupo de amenazas generalmente se dirige a entidades gubernamentales, ministerios extranjeros, organizaciones de defensa y ONG, especialmente a las del sur de Asia y Europa».
La cadena de ataque comienza con los correos electrónicos de phishing que tienen como objetivo engañar a los destinatarios para que haga clic en un enlace de Google Drive para activar la descarga de un archivo RAR, que luego allane el camino para el despliegue de un malware denominado Loptikmod, que el grupo lo utiliza exclusivamente desde 2018.
Los mensajes, por trelix, se originan en una dirección de Gmail y se hacen pasar por funcionarios de defensa, con una línea de asunto que hace referencia a la visita de un adjunto de defensa italiana a Dhaka, Bangladesh.
«El correo electrónico utilizó el formato HTML con la codificación UTF-8 para mostrar correctamente caracteres especiales como ‘É’ en ‘Adjunta’, demostrando atención al detalle para aumentar la legitimidad», señaló Trellix en su deconstrucción de la secuencia de infección.
El archivo RAR distribuido a través de los correos electrónicos contiene un ejecutable malicioso que imita un documento PDF, que se abre que hace que la ejecución del troyano de acceso remoto de Loptikmod que pueda establecer la persistencia en el host a través de tareas programadas y se conecta a un servidor remoto que envíe información del sistema, reciba más comandos, descargue módulos adicionales y exfiltrate los datos.
También emplea técnicas anti-VM y ofuscación ASCII para obstaculizar la ejecución en entornos virtuales y evadir el análisis, lo que hace que sea mucho más difícil determinar el propósito de la herramienta. Además, el ataque se asegura de que solo una instancia del malware se ejecute activamente en el sistema comprometido para evitar una interferencia potencial.
Trellix dijo que el servidor de comando y control (C2) utilizado en la campaña está actualmente inactivo, lo que significa que la infraestructura ha sido deshabilitada temporalmente o no es funcional, o que los actores de amenaza se han trasladado a un servidor completamente diferente.
El estado inactivo del servidor C2 también significa que actualmente no es factible determinar el conjunto exacto de comandos que se transmiten a puntos finales infectados y los tipos de datos que se envían de vuelta como respuestas.
«Sus operaciones están marcadas por la vigilancia persistente, la exfiltración de datos y el acceso a largo plazo, lo que sugiere un fuerte motivo de espionaje cibernético», dijeron los investigadores. «Si bien históricamente se centró en Asia del Sur, este incidente dirigido a las embajadas del sur de Asia en Europa indica una clara expansión de sus intereses hacia las comunicaciones e inteligencia diplomáticas europeas».