El actor de amenazas conocido como Transparent Tribe se ha atribuido a una nueva serie de ataques dirigidos a entidades gubernamentales, académicas y estratégicas de la India con un troyano de camino remoto (RAT) que les otorga un control persistente sobre los hosts comprometidos.
“La campaña emplea técnicas de entrega engañosas, incluido un archivo de camino directo de Windows (LNK) disfrazado de un documento PDF verdadero e incrustado con contenido PDF completo para evitar las sospechas del favorecido”, dijo CYFIRMA en un mensaje técnico.
Transparent Tribe, igualmente llamado APT36, es un agrupación de hackers conocido por totalizar campañas de ciberespionaje contra organizaciones indias. Considerado de origen indio, el adversario patrocinado por el Estado ha estado activo desde al menos 2013.
El actor de amenazas se jacta de tener un cantera de RAT en constante proceso para obtener sus objetivos. Algunos de los troyanos utilizados por Transparent Tribe en los últimos primaveras incluyen CapraRAT, Crimson RAT, ElizaRAT y DeskRAT.
El extremo conjunto de ataques comenzó con un correo electrónico de phishing que contenía un archivo ZIP con un archivo LNK disfrazado de PDF. Al inaugurar el archivo se activa la ejecución de un script de aplicación HTML (HTA) remoto utilizando “mshta.exe” que descifra y carga la carga útil RAT final directamente en la memoria. Al mismo tiempo, la HTA descarga y abre un documento PDF señuelo para no despertar sospechas de los usuarios.
“Una vez establecida la deducción de decodificación, HTA aprovecha los objetos ActiveX, particularmente WScript.Shell, para interactuar con el entorno de Windows”, señaló CYFIRMA. “Este comportamiento demuestra la elaboración de perfiles del entorno y la manipulación del tiempo de ejecución, lo que garantiza la compatibilidad con el sistema de destino y aumenta las técnicas de confiabilidad de ejecución comúnmente observadas en el malware que abusa de ‘mshta.exe'”.
Un aspecto digno de mención del malware es su capacidad para adaptar su método de persistencia en función de las soluciones antivirus instaladas en la máquina infectada.
- Si se detecta Kapsersky, crea un directorio de trabajo en “C:UsersPubliccore”, escribe una carga útil HTA ofuscada en el disco y establece persistencia colocando un archivo LNK en la carpeta de inicio de Windows que, a su vez, inicia el script HTA usando “mshta.exe”.
- Si se detecta Quick Heal, establece persistencia creando un archivo por lotes y un archivo LNK sagaz en la carpeta de inicio de Windows, escribiendo la carga útil de HTA en el disco y luego llamándolo usando el script por lotes.
- Si se detecta Avast, AVG o Avira, funciona copiando directamente la carga útil en el directorio de Inicio y ejecutándola
- Si no se detecta ninguna posibilidad antivirus reconocida, se recurre a una combinación de ejecución de archivos por lotes, persistencia basada en el registro e implementación de carga útil antiguamente de iniciar el script por lotes.
El segundo archivo HTA incluye una DLL señal “iinneldc.dll” que funciona como una RAT con todas las funciones y admite el control remoto del sistema, la diligencia de archivos, la filtración de datos, la captura de capturas de pantalla, la manipulación del portapapeles y el control de procesos.
“APT36 (Transparent Tribe) sigue siendo una amenaza de ciberespionaje mucho persistente y estratégicamente impulsada, con un enfoque sostenido en la colección de inteligencia dirigida a entidades gubernamentales indias, instituciones educativas y otros sectores estratégicamente relevantes”, dijo la compañía de ciberseguridad.
En las últimas semanas, APT36 igualmente se ha vinculado a otra campaña que aprovecha un archivo de camino directo sagaz disfrazado de PDF de asesoramiento ministerial (“NCERT-Whatsapp-Advisory.pdf.lnk”) para entregar un cargador basado en .NET, que luego descarga ejecutables adicionales y DLL maliciosos para establecer la ejecución remota de comandos, el examen del sistema y el camino a espacioso plazo.
El camino directo está diseñado para ejecutar un comando ofuscado usando cmd.exe para recuperar un instalador MSI (“nikmights.msi”) de un servidor remoto (“aeroclubofindia.co(.)in”), que es responsable de iniciar una serie de acciones:
- Extraiga y muestre un documento PDF señuelo a la víctima
- Decodifica y escribe archivos DLL en “C:ProgramDataPcDirvspdf.dll” y “C:ProgramDataPcDirvswininet.dll”
- Coloque “PcDirvs.exe” en la misma ubicación y ejecútelo luego de un retraso de 10 segundos.
- Establezca persistencia creando “PcDirvs.hta” que contiene Visual Basic Script para realizar modificaciones en el Registro para iniciar “PcDirvs.exe” cada vez que se inicia el sistema.
Vale la pena señalar que el PDF señuelo que se muestra es un aviso verdadero emitido por el Equipo Franquista de Respuesta a Emergencias Cibernéticas de Pakistán (PKCERT) en 2024 sobre una campaña fraudulenta de mensajes de WhatsApp dirigida a entidades gubernamentales de Pakistán con un archivo WinRAR sagaz que infecta sistemas con malware.
La DLL “wininet.dll” se conecta a una infraestructura de comando y control (C2) codificada alojada en dns.wmiprovider(.)com. Se registró a mediados de abril de 2025. El C2 asociado con la actividad está actualmente inactivo, pero la persistencia basada en el Registro de Windows garantiza que la amenaza pueda resucitar en cualquier momento en el futuro.
“La DLL implementa múltiples puntos finales basados en HTTP GET para establecer comunicación con el servidor C2, realizar actualizaciones y recuperar comandos emitidos por el atacante”, dijo CYFIRMA. “Para evitar la detección de cadenas estáticas, los caracteres del punto final se almacenan intencionalmente en orden inverso”.
La letanía de puntos finales es la futuro:
- /retsiger (registro), para registrar el sistema infectado en el servidor C2
- /taebtraeh (sístole del corazón), para señalar su presencia al servidor C2
- /dnammoc_teg (get_command), para ejecutar comandos arbitrarios a través de “cmd.exe”
- /dnammocmvitna (antivmcommand), para consultar o establecer un estado anti-VM y probablemente ajustar el comportamiento
La DLL igualmente consulta los productos antivirus instalados en el sistema víctima, convirtiéndolo en una potente utensilio capaz de realizar reconocimientos y compendiar información confidencial.
Patchwork vinculado al nuevo troyano StreamSpy
La divulgación se produce semanas luego de que Patchwork (igualmente conocido como Dropping Elephant o Maha Grass), un agrupación de hackers que se cree es de origen indio, fuera vinculado a ataques dirigidos al sector de defensa de Pakistán con una puerta trasera basada en Python que se distribuye a través de correos electrónicos de phishing que contienen archivos ZIP, según el investigador de seguridad Idan Tarab.
Interiormente del archivo está presente un tesina de MSBuild que, cuando se ejecuta a través de “msbuild.exe”, implementa un cuentagotas para finalmente instalar e iniciar Python RAT. El malware está equipado para contactar un servidor C2 y ejecutar módulos Python remotos, ejecutar comandos y cargar/descargar archivos.
“Esta campaña representa un conjunto de herramientas Patchwork APT modernizado y mucho ofuscado que combina cargadores MSBuild LOLBin, tiempos de ejecución de Python modificados por PyInstaller, implantes de código de bytes ordenados, geofencing, puntos finales PHP C2 aleatorios (y) mecanismos de persistencia realistas”, dijo Tarab.
En diciembre de 2025, Patchwork igualmente se ha asociado con un troyano no documentado anteriormente llamado StreamSpy, que utiliza los protocolos WebSocket y HTTP para la comunicación C2. Mientras que el canal WebSocket se utiliza para tomar instrucciones y transmitir los resultados de la ejecución, HTTP se aprovecha para las transferencias de archivos.
Los vínculos de StreamSpy con Patchwork, según QiAnXin, se derivan de sus similitudes con Spyder, una transformación de otra puerta trasera señal WarHawk que se atribuye a SideWinder. El uso de Spider por parte de Patchwork se remonta a 2023.
Distribuido a través de archivos ZIP (“OPS-VII-SIR.zip”) alojados en “firebasescloudemail(.)com”, el malware (“Annexure.exe”) puede compendiar información del sistema, establecer persistencia a través del Registro de Windows, tareas programadas o mediante un archivo LNK en la carpeta de Inicio, comunicarse con el servidor C2 mediante HTTP y WebSocket. La letanía de comandos de soporte se encuentra a continuación:
- F1A5C3, para descargar un archivo y abrirlo usando ShellExecuteExW
- B8C1D2, para configurar el shell para la ejecución de comandos en cmd
- E4F5A6, para configurar el shell para la ejecución de comandos en PowerShell
- FL_SH1, para cerrar todos los shells
- C9E3D4, E7F8A9, H1K4R8, C0V3RT, para descargar archivos zip cifrados desde el servidor C2, extraerlos y abrirlos usando ShellExecuteExW
- F2B3C4, para compendiar información sobre el sistema de archivos y todos los discos conectados al dispositivo
- D5E6F7, para realizar carga y descarga de archivos
- A8B9C0, para realizar la carga de archivos
- D1E2F3, para eliminar un archivo
- A4B5C6, para cambiar el nombre de un archivo
- D7E8F9, para enumerar una carpeta específica
QinAnXin dijo que el sitio de descarga de StreamSpy igualmente alberga variantes de Spyder con amplias funciones de colección de datos, y agregó que la firma digital del malware muestra correlaciones con un RAT de Windows diferente llamado ShadowAgent atribuido al DoNot Team (igualmente conocido como Brainworm). Curiosamente, 360 Threat Intelligence Center marcó el mismo ejecutable “Annexure.exe” que ShadowAgent en noviembre de 2025.
“La aparición de las variantes del troyano StreamSpy y Spyder del agrupación Maha Grass indica que el agrupación está iterando continuamente su cantera de herramientas de ataque”, dijo el proveedor de seguridad chino.
“En el troyano StreamSpy, los atacantes intentan utilizar canales WebSocket para emitir comandos y feedback de resultados para evitar la detección y censura del tráfico HTTP. Por otra parte, las muestras correlacionadas confirman encima que los grupos de ataque Maha Grass y DoNot tienen algunas conexiones en términos de intercambio de fortuna”.
