Setor de defesa indiano sofre ataques sofisticados que atingem ambientes Windows e Linux, utilizando trojans de acesso remoto capazes de roubar dados sensíveis e manter controle permanente das máquinas comprometidas.
Essas campanhas têm como alvo organizações governamentais e ligadas ao governo da Índia.
Elas se destacam pelo uso de famílias de malware como Geta RAT, Ares RAT e DeskRAT, geralmente atribuídas a grupos alinhados ao Paquistão, conhecidos como SideCopy e APT36 (também chamado Transparent Tribe).
O SideCopy atua desde pelo menos 2019 e é considerado uma subdivisão do Transparent Tribe.
Segundo Aditya K.
Sood, vice-presidente de Engenharia de Segurança e Estratégia de IA da Aryaka, “essas campanhas mostram um cenário conhecido, mas em constante evolução.
Transparent Tribe e SideCopy não reinventam a espionagem — eles a refinam”.
Ele destaca que, ao ampliar o alcance entre plataformas, explorar técnicas de residência em memória e testar novos vetores de entrega, esses grupos operam de forma discreta e estratégica.
O método inicial comum entre as campanhas envolve o envio de e-mails de phishing com anexos maliciosos ou links incorporados que direcionam as vítimas para servidores controlados pelos invasores.
A partir daí, são usados atalhos do Windows (LNK), binários ELF e arquivos PowerPoint Add-In que disparam processos em múltiplas etapas para instalar os trojans.
Esses malwares garantem acesso remoto persistente, realizam reconhecimento do sistema, coletam dados, executam comandos e permitem operações prolongadas pós-comprometimento em ambientes Windows e Linux.
Um dos fluxos de ataque descritos envolve um arquivo LNK malicioso que executa o “mshta.exe” para rodar um arquivo HTML Application (HTA) hospedado em domínios legítimos comprometidos.
O payload HTA contém JavaScript que descriptografa uma DLL embutida.
Essa DLL processa um blob de dados para gravar um arquivo PDF falso no disco, conecta-se a um servidor comando e controle (C2) pré-definido e exibe o documento falso para a vítima.
Após a exibição do arquivo falso, o malware verifica a presença de softwares de segurança e adapta sua técnica de persistência antes de instalar o Geta RAT no sistema comprometido.
Essa cadeia de ataque foi detalhada em dezembro de 2023 pelos pesquisadores Sathwik Ram Prakki, da CYFIRMA e Seqrite Labs.
O Geta RAT possui comandos para coletar informações do sistema, listar e finalizar processos, enumerar aplicativos instalados, capturar credenciais, manipular o conteúdo da área de transferência, tirar screenshots, realizar operações com arquivos, executar comandos em shell e extrair dados de dispositivos USB conectados.
Paralelamente, uma variante para Linux utiliza um binário em Go para iniciar a instalação do Ares RAT, baseado em Python, por meio de um script shell baixado de um servidor remoto.
Semelhante ao Geta RAT, o Ares RAT pode executar diversos comandos para coleta de dados e rodar scripts Python ou comandos enviados pelo invasor.
A Aryaka também identificou uma campanha em que o malware DeskRAT, desenvolvido em Golang, é entregue por um arquivo malicioso PowerPoint Add-In que executa macros embutidas para estabelecer comunicação com um servidor remoto e baixar o malware.
O uso do DeskRAT pelo APT36 foi documentado pelas empresas Sekoia e QiAnXin XLab em outubro de 2023.
“As campanhas evidenciam um ator de ameaça bem financiado, focado em espionagem, que mira intencionalmente setores de defesa, governo e áreas estratégicas indianas.
Para isso, utilizam iscas com temática militar, documentos oficiais falsificados e infraestrutura regional confiável”, destacou a empresa.
O alcance dessas operações vai além da defesa, atingindo também política, pesquisa, infraestrutura crítica e organizações adjacentes dentro do mesmo ecossistema confiável.
A introdução do DeskRAT, junto com Geta RAT e Ares RAT, reflete um arsenal em evolução, otimizado para furtividade, persistência e acesso duradouro aos alvos.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...