Entidades governamentais indianas têm sido alvos de duas campanhas conduzidas por um grupo de ameaça baseado no Paquistão, utilizando técnicas até então inéditas.
As operações foram identificadas em setembro de 2025 pela Zscaler ThreatLabz, que as batizou de Gopher Strike e Sheet Attack.
Embora apresentem semelhanças com o grupo APT36, vinculado ao Paquistão, os pesquisadores Sudeep Singh e Yin Hong Chang avaliam, com confiança moderada, que essas ações podem ser conduzidas por um subgrupo novo ou por outra organização paquistanesa atuando em paralelo.
A campanha Sheet Attack destaca-se pelo uso de serviços legítimos, como Google Sheets, Firebase e email, para estabelecer seu canal de comando e controle (C2).
Por sua vez, o Gopher Strike inicia o ataque por meio de emails de phishing que entregam documentos PDF com uma imagem borrada, sobreposta por um pop-up que simula uma atualização inofensiva do Adobe Acrobat Reader DC.
O objetivo da imagem é convencer o usuário de que é necessário instalar essa atualização para acessar o conteúdo do documento.
Se o usuário clicar no botão “Download and Install”, um arquivo ISO será baixado — mas somente se o acesso ocorrer a partir de IPs localizados na Índia e se o navegador for Windows.
Essa técnica evita análises automáticas via URL, garantindo que o malware alcance apenas os alvos desejados.
O payload malicioso dentro do ISO é um downloader desenvolvido em Golang, chamado GOGITTER.
Ele verifica a existência de um arquivo VBScript em pastas específicas do sistema, como “C:\Users\Public\Downloads”, e, caso não seja encontrado, cria o script para buscar comandos a cada 30 segundos em dois servidores C2 configurados.
Além disso, o GOGITTER cria uma tarefa agendada para executar o VBScript a cada 50 minutos, garantindo persistência.
O downloader também verifica a presença do arquivo “adobe_update.zip” nas mesmas pastas e, caso não esteja disponível, baixa-o de um repositório privado no GitHub, criado em 7 de junho de 2025.
Após o download, a cadeia de ataque envia uma requisição HTTP para “adobe-acrobat.in”, possivelmente para sinalizar que a máquina está comprometida.
O malware extrai e executa o arquivo “edgehost.exe”, uma backdoor leve em Golang chamada GITSHELLPAD, que utiliza repositórios privados no GitHub para comunicação com o servidor C2.
O GITSHELLPAD consulta o servidor a cada 15 segundos por meio de requisições GET para ler um arquivo chamado “command.txt”, que pode conter seis comandos distintos: navegar para o diretório pai, mudar para um caminho específico, executar comandos em segundo plano, além de realizar upload e download de arquivos para o repositório GitHub.
Os resultados das execuções são salvos em “result.txt” e enviados via HTTP PUT, enquanto o “command.txt” é excluído após o comando ser executado com sucesso.
A Zscaler também observou que o grupo baixa arquivos no formato RAR usando comandos cURL para coletar informações do sistema e implantar o GOSHELL, um loader personalizado em Golang que entrega o Cobalt Strike Beacon após múltiplas etapas de decodificação.
Esses arquivos são apagados após o uso para evitar detecção.
Curiosamente, o GOSHELL tem seu tamanho artificialmente ampliado para cerca de 1 gigabyte por meio da adição de bytes inúteis, dificultando sua identificação por antivírus.
Além disso, ele é executado apenas em hosts cujo nome consta em uma lista codificada no código malicioso.
Esse modus operandi sofisticado revela a complexidade e o cuidado do grupo para evitar a detecção e garantir ataques direcionados contra entidades indianas.
É fundamental que as organizações adotem medidas de segurança para identificar essas ameaças e proteger seus sistemas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...