El sector de defensa indio y las organizaciones alineadas con el gobierno han sido blanco de múltiples campañas diseñadas para comprometer los entornos Windows y Linux con troyanos de comunicación remoto capaces de robar datos confidenciales y certificar el comunicación continuo a las máquinas infectadas.
Las campañas se caracterizan por el uso de familias de malware como Geta RAT, Ares RAT y DeskRAT, que a menudo se atribuyen a grupos de amenazas alineados con Pakistán rastreados como SideCopy y APT36 (además conocido como Transparent Tribe). Se evalúa que SideCopy, activo desde al menos 2019, funcione como una subdivisión de Transparent Tribe.
“En conjunto, estas campañas refuerzan una novelística casero pero en desarrollo”, dijo Aditya K. Sood, vicepresidente de Ingeniería de Seguridad y Organización de IA de Aryaka. “Transparent Tribe y SideCopy no están reinventando el espionaje, sino que lo están perfeccionando”.
“Al ampliar la cobertura multiplataforma, apoyarse en técnicas residentes en la memoria y estudiar con nuevos vectores de entrega, este ecosistema continúa operando por debajo del nivel de ruido mientras mantiene el enfoque decisivo”.
Todas las campañas tienen en popular el uso de correos electrónicos de phishing que contienen archivos adjuntos maliciosos o enlaces de descarga integrados que conducen a posibles objetivos a la infraestructura controlada por el atacante. Estos mecanismos de comunicación original sirven como conducto para los accesos directos de Windows (LNK), los archivos binarios ELF y los archivos complementarios de PowerPoint que, cuando se abren, inician un proceso de varias etapas para eliminar los troyanos.
Las familias de malware están diseñadas para proporcionar comunicación remoto persistente, permitir el gratitud del sistema, compendiar datos, ejecutar comandos y proporcionar operaciones posteriores al compromiso a liberal plazo en entornos Windows y Linux.
Una de las cadenas de ataque es la posterior: un archivo LNK zorro invoca “mshta.exe” para ejecutar un archivo de aplicación HTML (HTA) alojado en dominios legítimos comprometidos. La carga útil de HTA contiene JavaScript para descifrar una carga útil de DLL incorporada, que, a su vez, procesa un blob de datos incorporado para escribir un PDF señuelo en el disco, se conecta a un servidor de comando y control (C2) codificado y muestra el archivo señuelo guardado.
Luego de que se muestra el documento señuelo, el malware indagación productos de seguridad instalados y adapta su método de persistencia en consecuencia antiguamente de implementar Geta RAT en el host comprometido. Vale la pena señalar que esta dependencia de ataque fue detallada por el investigador de CYFIRMA y Seqrite Labs, Sathwik Ram Prakki, a finales de diciembre de 2025.
Geta RAT admite varios comandos para compendiar información del sistema, enumerar procesos en ejecución, finalizar un proceso específico, enumerar aplicaciones instaladas, compendiar credenciales, recuperar y reemplazar el contenido del portapapeles con datos proporcionados por el atacante, capturar capturas de pantalla, realizar operaciones con archivos, ejecutar comandos de shell arbitrarios y compendiar datos de dispositivos USB conectados.
Paralelamente a esta campaña centrada en Windows hay una cambio de Linux que emplea un binario Go como punto de partida para eliminar un Ares RAT basado en Python mediante un script de shell descargado desde un servidor foráneo. Al igual que Geta RAT, Ares RAT además puede ejecutar una amplia matiz de comandos para compendiar datos confidenciales y ejecutar scripts de Python o comandos emitidos por el actor de la amenaza.
Aryaka dijo que además observó otra campaña en la que el malware Golang, DeskRAT, se entrega a través de un archivo complementario de PowerPoint no competente que ejecuta una macro integrada para establecer comunicación saliente con un servidor remoto para recuperar el malware. El uso de DeskRAT por parte de APT36 fue documentado por Sekoia y QiAnXin XLab en octubre de 2025.
“Estas campañas demuestran un actor de amenazas con buenos bienes y centrado en el espionaje que apunta deliberadamente a la defensa, el gobierno y los sectores estratégicos de la India a través de señuelos con temas de defensa, documentos oficiales suplantados e infraestructura de confianza regional”, dijo la compañía. “La actividad se extiende más allá de la defensa, con destino a políticas, investigación, infraestructura crítica y organizaciones adyacentes a la defensa que operan interiormente del mismo ecosistema confiable”.
“La implementación de DeskRAT, contiguo con Geta RAT y Ares RAT, subraya un conjunto de herramientas en desarrollo optimizado para el sigilo, la persistencia y el comunicación a liberal plazo”.
