Investigadores de ciberseguridad han revelado detalles de una campaña de phishing probablemente realizada por el gobierno alineado con Pakistán. Copia lateral grupo dirigido al Ministerio de Finanzas de Afganistán con un troyano de acceso remoto de código abierto llamado Xeno RAT.
«La campaña comienza con una entrega de phishing: un archivo ZIP que contiene un archivo LNK malicioso con un nombre de archivo cuidadosamente elaborado en idioma pashto», dijo el investigador de Seqrite Labs, Dixit Panchal, en un desglose técnico de la actividad.
También se dirigen como parte de la campaña las direcciones provinciales de ingresos y finanzas, los funcionarios gubernamentales de habla pastún y los empleados gubernamentales a nivel provincial. La campaña ha recibido el nombre en clave Operación XENOFISCAL.
La elección del pastún para el archivo señuelo es una elección deliberada por parte del atacante, ya que es el idioma principal que se habla en los círculos del gobierno afgano. Este aspecto refleja la familiaridad del atacante con el entorno objetivo.
SideCopy es el nombre dado a un grupo de amenazas vinculado a Pakistán que opera bajo el paraguas más amplio de Transparent Tribe (también conocido como APT36), utilizando una amplia gama de familias de malware para robar datos confidenciales de hosts comprometidos. En abril de 2025, el adversario fue atribuido a una serie de ataques dirigidos a varios sectores de la India con Xeno RAT, Spark RAT y CurlBack RAT.
Vista desde esa perspectiva, la última campaña es una continuación de un grupo más amplio de actividad cibernética maliciosa dirigida a entidades del sur de Asia.
Una vez ejecutado, el archivo de acceso directo de Windows (LNK) aprovecha «mshta.exe» para recuperar una aplicación HTML remota (HTA) de un dominio educativo afgano comprometido, lo que lleva a la ejecución de JavaScript ofuscado en la memoria. El malware también establece persistencia basada en el Registro al imitar a Microsoft Edge, al tiempo que elimina Xeno RAT 1.8.7 y un documento señuelo como mecanismo de distracción mediante un cargador basado en DLL.
Xeno RAT está diseñado para conectarse con un servidor remoto a través de TCP para manejar los comandos enviados por el operador. El malware está equipado para cargar y ejecutar módulos DLL externos, transmitir datos al servidor, iniciar el malware a través de una tarea programada, recuperar información antivirus, admitir túneles de red basados en proxy SOCKS5, realizar operaciones de archivos, registrar pulsaciones de teclas, tomar capturas de pantalla, monitorear el portapapeles, rastrear la cámara web/micrófono, eliminar métodos de persistencia y desinstalarse del host.
La divulgación se produce cuando han surgido detalles de una operación de phishing dirigida que aprovecha archivos .desktop de Linux armados para apuntar a la infraestructura militar india utilizando señuelos relacionados con contratos asociados con operaciones de adquisición de vehículos blindados indios. Se considera que la campaña es obra de Transparent Tribe.
«La campaña parece apuntar a individuos conectados a los ecosistemas de infraestructura militar y de defensa de la India utilizando ingeniería social basada en WhatsApp y entrega de carga útil de shell por etapas», dijo el investigador de seguridad RD Tarun en un informe publicado el mes pasado.
«Una vez ejecutado, el lanzador malicioso .desktop inicia una cadena de infección basada en shell muy ofuscada que involucra recuperación de carga útil por etapas, rutinas de decodificación en línea y la implementación de un implante ELF basado en Golang rastreado en este informe como DeskRAT».