Se ha encontrado un grupo de piratería con lazos distintos de Pakistán dirigidos a organizaciones gubernamentales indias con una variante modificada de un troyano de acceso remoto (rata) llamado Drat.
La actividad ha sido atribuida por el Grupo Insikt de Future a un actor de amenazas rastreado como TAG-140, que dijo que se superpone con Sidecopy, un colectivo adversario evaluado como un sublúster operativo dentro de la tribu transparente (también conocido como apt-c-56, apt36, datebug, tierra karkaddan, leoparda mítica, operación casajor y proyecto).
«TAG-140 ha demostrado constantemente el avance y la variedad iterativa en sus técnicas de arsenal de malware y entrega», dijo la compañía propiedad de MasterCard en un análisis publicado el mes pasado.
«Esta última campaña, que falsificó el Ministerio de Defensa indio a través de un portal de comunicados de prensa clonado, marca un cambio leve pero notable tanto en la arquitectura de malware como en la funcionalidad de comando y control (C2)».
La versión actualizada de Drat, llamada Drat V2, es la última adición al arsenal de rata de Sidecopy, que también comprende otras herramientas como Action Rat, Allakore Rat, Ares Rat, Ruckback Rat, Reverserat, Spark Rat y Xeno Rat para infectar Windows y Linux Systems.
La actividad de ataque demuestra el libro de jugadas en evolución del adversario, destacando su capacidad de refinar y diversificar a una «suite intercambiable» de malware de rata para cosechar datos confidenciales para complicar los esfuerzos de atribución, detección y monitoreo.
Los ataques orquestados por el actor de amenazas han ampliado su enfoque de orientación más allá del gobierno, la defensa, los sectores académicos y académicos para abarcar a las organizaciones afiliadas al ferrocarril del país, el petróleo y el gas y los ministerios de asuntos externos. Se sabe que el grupo está activo desde al menos 2019.
La secuencia de infección documentada por el futuro registrado aprovecha un enfoque de estilo ClickFix que falsifica el portal oficial de comunicados de prensa del Ministerio de Defensa de la India para soltar una versión basada en .NET de DRAT a una nueva variante compilada por Delphi.
El sitio web falsificado tiene un enlace activo que, cuando se hace clic, inicia una secuencia de infección que copia subrepticiamente un comando malicioso al portapapeles de la máquina e insta a la víctima a pegarla y ejecutarla iniciando un shell de comando.
Esto provoca la recuperación de un archivo de aplicación HTML (HTA) desde un servidor externo («Trade4Wealth (.) IN»), que luego se ejecuta mediante MSHTA.EXE para lanzar un cargador llamado BroadRespect. El cargador es responsable de descargar y lanzar un PDF de señuelo, configurar la persistencia a través de los cambios en el registro de Windows y descargar y ejecutar DRAT V2 desde el mismo servidor.
Drat V2 agrega un nuevo comando para la ejecución del comando de shell arbitrary, mejorando su flexibilidad posterior a la explotación. También ofusca sus direcciones IP C2 utilizando la codificación de base64 y actualiza su protocolo TCP iniciado por el servidor personalizado para admitir la entrada de comandos en ASCII y Unicode. Sin embargo, el servidor responde solo en ASCII. El DRAT original requiere unicode tanto para entrada como para salida.
«En comparación con su predecesor, Drat V2 reduce la ofuscación de cadenas al mantener la mayoría de los encabezados de comando en texto sin formato, probablemente priorizando la confiabilidad de análisis sobre el sigilo», dijo Future. «Drat V2 carece de técnicas avanzadas contra el análisis y se basa en métodos básicos de infección y persistencia, lo que lo hace detectable a través del análisis estático y conductual».
Otras capacidades conocidas le permiten realizar una amplia gama de acciones en hosts comprometidos, incluida la realización de reconocimiento, cargar cargas útiles adicionales y exfiltrando datos.
«Estas funciones proporcionan a TAG-140 un control persistente y flexible sobre el sistema infectado y permiten una actividad de explotación automatizada e interactiva sin requerir la implementación de herramientas de malware auxiliar», dijo la compañía.
«Drat V2 parece ser otra adición modular en lugar de una evolución definitiva, reforzando la probabilidad de que TAG-140 persista en ratas rotativas en campañas para oscurecer las firmas y mantener la flexibilidad operativa».
Las campañas de APT36 entregan a Ares Rat y Depomoji
La actividad de amenazas patrocinada por el estado y las operaciones hacktivistas coordinadas de Pakistán estallaron durante el conflicto de India-Pakistán en mayo de 2025, con APT36 capitalizando los eventos para distribuir Ares Rat en ataques dirigidos a la defensa, el gobierno, la salud, la atención médica, la educación y los sectores de telecomunicaciones.
«Con el despliegue de herramientas como Ares Rat, los atacantes obtuvieron acceso remoto completo a sistemas infectados, abriendo la puerta a la vigilancia, el robo de datos y el potencial sabotaje de los servicios críticos», señaló Seqrite Labs en mayo de 2025.
Se ha encontrado que las recientes campañas de APT36 difunden correos electrónicos de phishing cuidadosamente elaborados que contienen archivos adjuntos de PDF maliciosos para atacar al personal de defensa india.
Los mensajes se basan en las órdenes de compra del Centro Nacional de Informática (NIC) y persuaden a los destinatarios a hacer clic en un botón integrado dentro de los documentos PDF. Hacerlo da como resultado la descarga de un ejecutable que muestra engañosamente un icono PDF y emplea el formato de doble extensión (es decir, *.pdf.exe) para que parezca legítimo para los usuarios de Windows.
El binario, además de presentar características anti-fondos y anti-VM para el análisis Sidestep, está diseñado para iniciar una carga útil de la próxima etapa en la memoria que puede enumerar archivos, registrar las teclas de teclas, capturar contenido de portapapeles, obtener credenciales de navegador y comunicarse con un servidor C2 para la exfiltración de datos y el acceso remoto.
«APT36 plantea una amenaza cibernética significativa y continua para la seguridad nacional, específicamente dirigida a la infraestructura de defensa india», dijo Cyfirma. «El uso del grupo de tácticas de phishing avanzadas y robo de credenciales ejemplifica la sofisticación en evolución del espionaje cibernético moderno».
Otra campaña detallada por el Centro de Inteligencia de Amenazos 360 ha aprovechado una nueva variante de un malware basado en GO que se conoce como parte de los archivos zip atrapados en boby distribuidos a través de ataques de phishing. El malware, dijo la compañía de ciberseguridad con sede en Beijing, es un programa de ejecutable ELF escrito en Golang y utiliza Google Cloud para C2, que marca un cambio de Discord.
«Además, los complementos de robo de navegador y las herramientas de administración remota se descargarán para lograr más operaciones de robo y control remoto», dijo. «La función de descargar la variante de ascomoji es similar a la carga encontrada antes, pero el desagrado anterior usó el servidor de discordias, mientras que esta vez usó el servicio en la nube de Google para la comunicación».
Confucio deja caer a Wooperstealer y Anondoor
Los hallazgos se producen cuando el actor cibernético conocido como Confucio se ha vinculado a una nueva campaña que despliega un robador de información llamado Weoperstealer y una puerta trasera modular previamente indocumentada Anondoor.
Se evalúa que Confucio es un grupo de amenazas que opera con objetivos que se alinean con la India. Se cree que es activo desde al menos 2013, dirigido a unidades gubernamentales y militares en el sur de Asia y Asia Oriental.
Según el equipo conocido 404 de Seebug, los ataques de múltiples etapas emplean archivos de acceso directo de Windows (LNK) como un punto de partida para entregar Anondoor utilizando técnicas de carga lateral de DLL, después de qué información del sistema se recopila y Wooperstealer se obtiene desde un servidor remoto.
La puerta trasera tiene una tarea completa, lo que permite a un atacante emitir comandos que pueden ejecutar comandos, tomar capturas de pantalla, descargar archivos, volcar contraseñas del navegador Chrome, así como archivos y carpetas de lista.
«Ha evolucionado desde el troyano de espionaje único previamente expuesto de descarga y ejecución a una puerta trasera modular, lo que demuestra una capacidad relativamente alta de iteración tecnológica», dijo el equipo KnowSec 404. «Su componente de puerta trasera se encapsula en un archivo C# DLL y evadió la detección de sandbox cargando el método especificado a través de Invoke».