Pesquisadores de cibersegurança divulgaram detalhes de uma campanha de spear phishing provavelmente conduzida pelo grupo SideCopy, alinhado ao Paquistão, que mirou o Ministério das Finanças do Afeganistão com um trojan de acesso remoto de código aberto chamado Xeno RAT.
“A campanha começa com uma entrega por spear phishing, um arquivo ZIP contendo um arquivo LNK malicioso com um nome cuidadosamente criado em língua pashto”, afirmou o pesquisador Dixit Panchal, da Seqrite Labs, em uma análise técnica da atividade.
Também foram alvos diretórios provinciais de receita e finanças, autoridades governamentais que falam pashto e funcionários do governo em nível provincial.
A campanha recebeu o nome de Operation XENOFISCAL.
A escolha do pashto como isca no arquivo foi deliberada por parte do invasor, já que esse é o principal idioma usado em círculos do governo afegão.
Esse detalhe indica familiaridade do atacante com o ambiente da vítima.
SideCopy é o nome atribuído a um grupo de ameaças ligado ao Paquistão que atua sob a estrutura mais ampla da Transparent Tribe, também identificada como APT36, usando uma ampla variedade de famílias de malware para roubar dados sensíveis de sistemas comprometidos.
Em abril de 2025, o adversário foi associado a uma série de ataques contra diferentes setores da Índia com Xeno RAT, Spark RAT e CurlBack RAT.
Nesse contexto, a campanha mais recente é vista como continuação de um conjunto mais amplo de atividades cibernéticas maliciosas voltadas a entidades do Sul da Ásia.
Após a execução, o arquivo Windows Shortcut (LNK) usa o “mshta.exe” para buscar um aplicativo HTML remoto, ou HTA, em um domínio educacional afegão comprometido, levando à execução de JavaScript ofuscado na memória.
O malware também estabelece persistência por meio do Registro, imitando o Microsoft Edge, enquanto baixa o Xeno RAT 1.8.7 e um documento isca para desviar a atenção, usando um carregador baseado em DLL.
O Xeno RAT foi projetado para se conectar a um servidor remoto via TCP e receber comandos enviados pelo operador.
O malware consegue carregar e executar módulos DLL externos, transmitir dados ao servidor, ser iniciado por meio de uma tarefa agendada, coletar informações de antivírus, oferecer suporte a tunelamento de rede com proxy SOCKS5, realizar operações em arquivos, registrar teclas digitadas, capturar screenshots, monitorar a área de transferência, acompanhar webcam e microfone, remover métodos de persistência e se desinstalar do host.
A divulgação ocorre no momento em que surgiram detalhes sobre uma operação direcionada de phishing que usa arquivos Linux .desktop transformados em arma para atingir a infraestrutura militar da Índia, com iscas relacionadas a contratos ligados a operações de aquisição de veículos blindados indianos.
A campanha é atribuída à Transparent Tribe.
“A campanha parece ter como alvo indivíduos conectados aos ecossistemas de infraestrutura militar e de defesa da Índia, usando engenharia social baseada no WhatsApp e entrega em etapas de payload em shell”, afirmou o pesquisador de segurança R.D.
Tarun em relatório publicado no mês passado.
“Após a execução, o lançador malicioso .desktop inicia uma cadeia de infecção altamente ofuscada baseada em shell, envolvendo a obtenção de payload em etapas, rotinas de decodificação inline e a implantação de um implante ELF em Golang, identificado neste relatório como DeskRAT.”
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...