Las entidades del gobierno indio han sido blanco de dos campañas emprendidas por un actor de amenazas que opera en Pakistán utilizando artesanía previamente indocumentada.
Las campañas han recibido el nombre en esencia. Moretón de tuza y Ataque de hoja por Zscaler ThreatLabz, que los identificó en septiembre de 2025.
“Si aceptablemente estas campañas comparten algunas similitudes con el clase de Amenaza Persistente Vanguardia (APT) vinculado a Pakistán, APT36, evaluamos con confianza media que la actividad identificada durante este estudio podría originarse en un nuevo subgrupo u otro clase vinculado a Pakistán que opera en paralelo”, dijeron los investigadores Sudeep Singh y Yin Hong Chang.
Sheet Attack recibe su nombre del uso de servicios legítimos como Google Sheets, Firebase y correo electrónico para comando y control (C2). Por otro banda, se estima que Gopher Strike aprovechó los correos electrónicos de phishing como punto de partida para entregar documentos PDF que contienen una imagen borrosa superpuesta por una ventana emergente aparentemente inofensiva que indica al destinatario que descargue una aggiornamento para Adobe Acrobat Reader DC.
El objetivo principal de la imagen es dar a los usuarios la impresión de que es necesario instalar la aggiornamento para poder ceder al contenido del documento. Al hacer clic en el botonadura “Descargar e instalar” en el cuadro de diálogo de aggiornamento falsa, se activa la descarga de un archivo de imagen ISO solo cuando las solicitudes se originan en direcciones IP ubicadas en la India y la condena User-Agent corresponde a Windows.
“Estas comprobaciones del banda del servidor evitan que las herramientas automáticas de estudio de URL obtengan el archivo ISO, asegurando que el archivo receloso sólo se entregue a los objetivos previstos”, dijo Zscaler.
La carga útil maliciosa incrustada en la imagen ISO es un descargador basado en Golang denominado GOGITTER que es responsable de crear un archivo de Visual Basic Script (VBScript) si aún no existe en las siguientes ubicaciones: “C:UsersPublicDownloads”, “C:UsersPublicPictures” y “%APPDATA%”. El script está diseñado para recuperar comandos VBScript cada 30 segundos desde dos servidores C2 preconfigurados.
GOGITTER incluso configura la persistencia mediante una tarea programada que está configurada para ejecutar el archivo VBScript antiguamente mencionado cada 50 minutos. Adicionalmente, determina la presencia de otro archivo llamado “adobe_update.zip” en las mismas tres carpetas. Si el archivo ZIP no está presente, extrae el archivo de un repositorio privado de GitHub (“github(.)com/jaishankai/sockv6”). La cuenta de GitHub se creó el 7 de junio de 2025.
Una vez que la descarga se realiza correctamente, la condena de ataque envía una solicitud HTTP GET al dominio “adobe-acrobat(.)in” que probablemente indique a los actores de la amenaza que el punto final ha sido infectado. Luego, GOGITTER extrae y ejecuta “edgehost.exe” del archivo ZIP. GITSHELLPAD, una puerta trasera liviana basada en Golang, aprovecha los repositorios privados de GitHub controlados por actores de amenazas para C2.
Específicamente, sondea el servidor C2 cada 15 segundos mediante una solicitud GET para ceder al contenido de un archivo llamado “command.txt”. Admite seis comandos diferentes:
- cd ..para cambiar el directorio de trabajo al directorio principal
- cdpara cambiar el directorio a la ruta especificada
- pasarpara ejecutar un comando en segundo plano sin capturar la salida
- subirpara cargar un archivo tópico especificado por la ruta al repositorio de GitHub
- descargarpara descargar un archivo a la ruta especificada
- caso predeterminadopara ejecutar un comando usando cmd /c y capturar el resultado
Los resultados de la ejecución del comando se almacenan en un archivo llamado “result.txt” y se cargan en la cuenta de GitHub mediante una solicitud HTTP PUT. Luego, el “command.txt” se elimina del repositorio de GitHub una vez que el comando se ejecuta correctamente.
Zscaler dijo que observó que el actor de amenazas incluso descargaba archivos RAR usando comandos cURL posteriormente de obtener acercamiento a la máquina de la víctima. Los archivos incluyen utilidades para compilar información del sistema y descargar GOSHELL, un cargador personalizado basado en Golang que se utiliza para entregar Cobalt Strike Beacon posteriormente de múltiples rondas de decodificación. Las herramientas se limpian de la máquina posteriormente de su uso.
“El tamaño de GOSHELL se infló artificialmente a aproximadamente 1 gigabyte al anexar bytes basura a la superposición del ejecutable portátil (PE), probablemente para sortear la detección del software antivirus”, dijo la compañía de ciberseguridad. “GOSHELL sólo se ejecuta en nombres de host específicos comparando el nombre de host de la víctima con una cinta codificada”.
