Las instituciones gubernamentales de alto nivel en Sri Lanka, Bangladesh y Pakistán se han convertido en el objetivo de una nueva campaña orquestada por un actor de amenaza conocido como Sidewinder.
«Los atacantes utilizaron correos electrónicos de phishing de lanza combinados con cargas útiles geofencionadas para garantizar que solo las víctimas en países específicos recibieran el contenido malicioso», dijeron en un informe de los investigadores de Acronis Santiago Pontiroli, Jozsef Gegeny y Prakas Thevendaran en un informe que compartieron con The Hacker News.
Las cadenas de ataque aprovechan los señuelos de phishing de lanza como punto de partida para activar el proceso de infección y implementar un malware conocido denominado StealerBot. Vale la pena señalar que el modus operandi es consistente con los recientes ataques de compras documentados por Kaspersky en marzo de 2025.
Algunos de los objetivos de la campaña, según Acronis, incluyen la Comisión Reguladora de Telecomunicaciones de Bangladesh, el Ministerio de Defensa y el Ministerio de Finanzas; Dirección de Pakistán de desarrollo técnico indígena; y el Departamento de Recursos Externos de Sri Lanka, Departamento de Operaciones del Tesoro, Ministerio de Defensa y Banco Central.
Los ataques se caracterizan por el uso de fallas de ejecución de código remoto de años en la oficina de Microsoft (CVE-2017-0199 y CVE-2017-11882) como vectores iniciales para implementar malware capaz de mantener el acceso persistente en entornos gubernamentales en todo el sur de Asia.
Los documentos maliciosos, cuando se abren, activan un exploit para CVE-2017-0199 para entregar cargas útiles de la próxima etapa responsables de instalar StealerBot mediante técnicas de carga lateral DLL.
Una táctica notable adoptada por Sidewinder es que los correos electrónicos de phishing de lanza se combinan con cargas útiles geofenciadas para garantizar que solo las víctimas que cumplan con los criterios de orientación reciban el contenido malicioso. En el caso de que la dirección IP de la víctima no coincida, se envía un archivo RTF vacío como un señuelo.
La carga útil maliciosa es un archivo RTF que armaba CVE-2017-11882, una vulnerabilidad de corrupción de memoria en el editor de ecuaciones, para lanzar un cargador basado en shellcode que ejecuta el malware de strealerbot.
STEALERBOT, según Kaspersky, es un implante .NET que está diseñado para soltar malware adicional, lanzar un shell inverso y recopilar una amplia gama de datos de hosts comprometidos, incluidas capturas de pantalla, pulsaciones de teclas, contraseñas y archivos.
«Sidewinder ha demostrado una actividad constante con el tiempo, manteniendo un ritmo constante de operaciones sin inactividad prolongada, un patrón que refleja la continuidad organizacional y la intención sostenida», dijeron los investigadores.
«Un análisis más detallado de sus tácticas, técnicas y procedimientos (TTP) revela un alto grado de control y precisión, asegurando que las cargas útiles maliciosas se entreguen solo a objetivos cuidadosamente seleccionados, y a menudo solo por un tiempo limitado».