Um grupo de hackers com ligações a outros países além do Paquistão foi encontrado mirando organizações do governo indiano com uma variante modificada de um remote access trojan (RAT) chamado DRAT.
A atividade foi atribuída pelo Insikt Group da Recorded Future a um ator de ameaça rastreado como TAG-140, que, segundo eles, se sobrepõe com o SideCopy, um coletivo adversário avaliado como um sub-cluster operacional dentro do Transparent Tribe (também conhecido como APT-C-56, APT36, Datebug, Earth Karkaddan, Mythic Leopard, Operation C-Major e ProjectM).
"TAG-140 tem demonstrado consistentemente avanço iterativo e variedade em seu arsenal de malware e técnicas de entrega", disse a empresa pertencente à Mastercard em uma análise publicada no último mês.
Esta última campanha, que falsificou o Ministério da Defesa indiano através de um portal clonado de comunicados à imprensa, marca uma mudança leve, mas notável, tanto na arquitetura do malware quanto na funcionalidade de command-and-control (C2).
A versão atualizada do DRAT, chamada DRAT V2, é a mais recente adição ao arsenal de RATs do SideCopy, que também inclui outras ferramentas como Action RAT, AllaKore RAT, Ares RAT, CurlBack RAT, ReverseRAT, Spark RAT e Xeno RAT, para infectar sistemas Windows e Linux.
A atividade de ataque demonstra o playbook em evolução do adversário, destacando sua capacidade de refinar e diversificar para uma "suíte intercambiável" de malware RAT para colher dados sensíveis para complicar esforços de atribuição, detecção e monitoramento.
Os ataques orquestrados pelo ator de ameaça ampliaram seu foco de alvo para além dos setores governamentais, de defesa, marítimos e acadêmicos, abrangendo organizações afiliadas aos ministérios de ferrovias, petróleo e gás e de assuntos externos do país.
O grupo é conhecido por estar ativo desde pelo menos 2019.
A sequência de infecção documentada pela Recorded Future aproveita uma abordagem do tipo ClickFix que falsifica o portal oficial de comunicados de imprensa do Ministério da Defesa indiano para soltar uma versão .NET do DRAT em uma nova variante compilada em Delphi.
O site falsificado tem um link ativo que, quando clicado, inicia uma sequência de infecção que copia secretamente um comando malicioso para a área de transferência da máquina e insta a vítima a colar e executar, iniciando um shell de comando.
Isso causa o download de um arquivo de HTML Application (HTA) de um servidor externo ("trade4wealth[.]in"), que é então executado por meio de mshta.exe para lançar um carregador chamado BroaderAspect.
O carregador é responsável por baixar e iniciar um PDF isca, configurar a persistência por meio de alterações no Registro do Windows e baixar e executar o DRAT V2 do mesmo servidor.
O DRAT V2 adiciona um novo comando para execução arbitrária de comandos shell, melhorando sua flexibilidade pós-exploração.
Também ofusca seus endereços IP de C2 usando codificação Base64 e atualiza seu protocolo TCP personalizado iniciado pelo servidor para suportar comandos de entrada em ASCII e Unicode.
No entanto, o servidor responde apenas em ASCII.
O DRAT original requer Unicode para ambas as entradas e saídas.
"Comparado ao seu predecessor, o DRAT V2 reduz a ofuscação de strings, mantendo a maioria dos cabeçalhos de comando em texto simples, provavelmente priorizando a confiabilidade de análise em detrimento da furtividade", disse a Recorded Future.
DRAT V2 carece de técnicas avançadas de anti-análise e conta com métodos básicos de infecção e persistência, tornando-o detectável através de análise estática e comportamental. Outras capacidades conhecidas permitem que ele execute uma ampla gama de ações em hosts comprometidos, incluindo realizar reconhecimento, fazer upload de payloads adicionais e exfiltrar dados.
"Essas funções fornecem ao TAG-140 controle persistente e flexível sobre o sistema infectado e permitem atividades pós-exploração tanto automatizadas quanto interativas sem requerer a implantação de ferramentas auxiliares de malware", disse a empresa.
DRAT V2 parece ser uma adição modular em vez de uma evolução definitiva, reforçando a possibilidade de que TAG-140 persistirá em rodar RATs em campanhas para obscurecer assinaturas e manter flexibilidade operacional.
Campanhas APT36 Entregam Ares RAT e DISGOMOJI Atividades de ameaça patrocinadas pelo estado e operações de hacktivistas coordenadas do Paquistão se intensificaram durante o conflito Índia-Paquistão em maio de 2025, com APT36 capitalizando os eventos para distribuir o Ares RAT em ataques direcionados aos setores de defesa, governo, TI, saúde, educação e telecomunicações.
"Com a implantação de ferramentas como Ares RAT, os atacantes ganharam acesso remoto completo aos sistemas infectados – abrindo a porta para vigilância, roubo de dados e potencial sabotagem de serviços críticos", notou o Seqrite Labs em maio de 2025.
Campanhas recentes do APT36 foram encontradas disseminando emails de phishing cuidadosamente elaborados contendo anexos PDF maliciosos para mirar em pessoal de defesa indiano.
As mensagens se disfarçam como ordens de compra do National Informatics Centre (NIC) e persuadem os destinatários a clicar em um botão embutido nos documentos PDF.
Ao fazer isso, resulta no download de um executável que exibe enganosamente um ícone de PDF e emprega o formato de dupla extensão (ou seja, *.pdf.exe) para parecer legítimo para usuários do Windows.
O binário, além de apresentar recursos anti-depuração e anti-VM para evitar análises, é projetado para lançar um payload de próxima fase na memória que pode enumerar arquivos, registrar teclas digitadas, capturar conteúdo da área de transferência, obter credenciais do navegador e contatar um servidor de C2 para exfiltração de dados e acesso remoto.
"APT36 representa uma ameaça cibernética significativa e contínua à segurança nacional, mirando especificamente na infraestrutura de defesa indiana", disse a CYFIRMA.
O uso do grupo de táticas avançadas de phishing e roubo de credenciais exemplifica a sofisticação em evolução da espionagem cibernética moderna.
Outra campanha detalhada pelo 360 Threat Intelligence Center aproveitou uma nova variante de um malware baseado em Go referido como DISGOMOJI como parte de arquivos ZIP armadilhados distribuídos via ataques de phishing.
O malware, disse a empresa de cibersegurança sediada em Pequim, é um programa executável ELF escrito em Golang e usa o Google Cloud para C2, marcando uma mudança do Discord.
"Além disso, plug-ins de roubo de navegador e ferramentas de gerenciamento remoto serão baixados para alcançar operações de furto adicionais e controle remoto", afirmou.
A função de baixar a variante do DISGOMOJI é semelhante ao payload encontrado antes, mas o DISGOMOJI anterior usava o servidor Discord, enquanto desta vez usou o Google Cloud Service para comunicação.
Confucius Lança WooperStealer e Anondoor As descobertas vêm à medida que o ator de ciberespionagem conhecido como Confucius foi ligado a uma nova campanha que implanta um ladrão de informações chamado WooperStealer e um backdoor modular anteriormente não documentado Anondoor.
Avalia-se que Confucius seja um grupo de ameaça operando com objetivos alinhados com a Índia.
Acredita-se que esteja ativo desde pelo menos 2013, visando unidades governamentais e militares no Sul e no Leste Asiático.
De acordo com a equipe KnownSec 404 da Seebug, os ataques em múltiplas etapas empregam arquivos Windows Shortcut (LNK) como ponto de partida para entregar o Anondoor usando técnicas de carregamento lateral de DLL, após o qual informações do sistema são coletadas e o WooperStealer é buscado de um servidor remoto.
O backdoor é totalmente equipado, permitindo que um atacante emita comandos que podem executar comandos, capturar capturas de tela, baixar arquivos, extrair senhas do navegador Chrome, bem como listar arquivos e pastas.
"Ele evoluiu do único trojan de espionagem anteriormente exposto de baixar e executar para um backdoor modular, demonstrando uma capacidade relativamente alta de iteração tecnológica", disse a equipe KnownSec 404.
Seu componente backdoor está encapsulado em um arquivo DLL C# e evitou detecção de sandbox carregando o método especificado através de invoke.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...