Se ha observado que un actor de amenaza con lazos con Pakistán dirige a varios sectores en la India con varios troyanos de acceso remoto como Xeno Rat, Spark Rat y una familia de malware previamente indocumentada llamada Rata rizada.
La actividad, detectada por Seqrite en diciembre de 2024, dirigió a las entidades indias bajo los ministerios de ferrocarril, petróleo y gas, y asuntos externos, que marcan una expansión de la huella de la tripulación de piratería más allá del gobierno, la defensa, los sectores marítimos y las universidades.
«Un cambio notable en las campañas recientes es la transición del uso de archivos de aplicación HTML (HTA) a la adopción de los paquetes de Microsoft Installer (MSI) como un mecanismo primario de puesta en escena», dijo el investigador de seguridad Sathwik Ram Prakki.
Se sospecha que Sidecopy es un subgrupo dentro de la tribu transparente (también conocida como APT36) que está activa desde al menos 2019. Se llama así por imitar las cadenas de ataque asociadas con otro actor de amenaza llamado Sidewinder para entregar sus propias cargas útiles.
En junio de 2024, SeqRite destacó el uso de archivos HTA ofuscados por parte de Sidecopy, aprovechando técnicas previamente observadas en ataques Sidewinder. También se encontró que los archivos contenían referencias a URL que alojaban archivos RTF identificados como utilizados por SideWinder.
Los ataques culminaron en el despliegue de Action Rat y Reverserat, dos familias de malware conocidas atribuidas a Sidecopy, y varias otras cargas útiles, incluida Cheex para robar documentos e imágenes, una copiadora USB para desviar los datos de las unidades adjuntas y una rata Geta basada en .NET que es capaz de ejecutar 30 comandos enviados desde un servidor remoto.
La rata está equipada para robar los datos del navegador de Firefox y Chromium de todas las cuentas, perfiles y cookies, una característica prestada de Asyncrat.
«El enfoque APT36 es principalmente sistemas Linux, mientras que Sidecopy se dirige a los sistemas de Windows que agregan nuevas cargas útiles a su arsenal», señaló Seqrite en ese momento.
Los últimos hallazgos demuestran una maduración continua del grupo de piratería, que entran en sí mismos, al tiempo que aprovecha el phishing basado en el correo electrónico como un vector de distribución para malware. Estos mensajes de correo electrónico contienen varios tipos de documentos de señuelos, que van desde listas de vacaciones para el personal ferroviario hasta las pautas de seguridad cibernética emitidas por una empresa del sector público llamada Hindustan Petroleum Corporation Limited (HPCL).
Un clúster de actividad es particularmente notable dada su capacidad para dirigirse a los sistemas Windows y Linux, que en última instancia, lo que lleva a la implementación de un troyano de acceso remoto de plataforma cruzada conocida como Spark RAT y una nueva rata de malware con nombre de malware basado en Windows que puede recopilar información del sistema, descargar archivos del host, ejecutar comandos arbitrarios, privilegios elevados y listas de cuentas de usuarios de usuarios.
Se ha observado un segundo clúster utilizando los archivos de señuelo como una forma de iniciar un proceso de infección de varios pasos que deja caer una versión personalizada de Xeno Rat, que incorpora métodos básicos de manipulación de cadenas.
«El grupo ha cambiado de usar archivos HTA a paquetes MSI como un mecanismo de puesta en preparación primaria y continúa empleando técnicas avanzadas como la carga lateral de DLL, la carga reflectante y el descifrado de AES a través de PowerShell», dijo la compañía.
«Además, están aprovechando herramientas personalizadas de código abierto como Xeno Rat y Spark Rat, junto con el despliegue de la rata rizada recientemente identificada. Los dominios comprometidos y los sitios falsos se están utilizando para el alojamiento de phishing y carga útil de credenciales, destacando los esfuerzos continuos del grupo para mejorar la persistencia y evadir la detección».