Se ha evaluado que el actor de amenaza conocido como Bitter es un corro de piratería respaldado por el estado que tiene la tarea de reunir inteligencia que se alinee con los intereses del gobierno indio.
Eso es de acuerdo con los nuevos hallazgos publicados conjuntamente por Proofpoint y Threatray en un íntegro investigación de dos partes.
“Su conjunto de herramientas diversos muestra patrones de codificación consistentes entre las familias de malware, particularmente en la compilación de información del sistema y la ofuscación de cadenas”, dijeron los investigadores Abdallah Elshinbary, Jonas Wagner, Nick Attfield y Konstantin Klinger.
Bitter, todavía conocido como APT-C-08, APT-Q-37, Tiger neblinoso, Yali Orange, T-ACT-17 y TA397, tiene una historia de enfoque principalmente en entidades del sur de Asia, con intrusiones selectas que todavía dirigen a China, Arabia Saudita y América del Sur.
En diciembre de 2024, surgió evidencia de la orientación de la amenaza del actor de Turquía utilizando familias de malware como WMRAT y Miyarat, lo que indica una expansión geográfica graduado.
Afirmando que Bitter con frecuencia destaca un “subconjunto extremadamente pequeño de los objetivos”, Proofpoint dijo que los ataques están dirigidos a gobiernos, entidades diplomáticas y organizaciones de defensa para permitir la compilación de inteligencia sobre política foráneo o asuntos actuales.
Las cadenas de ataque montadas por el corro generalmente aprovechan los correos electrónicos de phishing de gancho, con los mensajes enviados desde proveedores como 163 (.) Com, 126 (.) Com y protonmail, así como cuentas comprometidas asociadas con los gobiernos de Pakistán, Bangladesh y Madagascar.
El actor de amenaza todavía se ha observado disfrazado de entidades gubernamentales y diplomáticas de China, Madagascar, Mauricio y Corea del Sur en estas campañas para atraer a los destinatarios a los archivos adjuntos con malware que desencadenan el despliegue de malware.
 |
| Descripción militar de las cadenas de infección de Bitter |
“Según el contenido y los documentos de señuelo empleados, está claro que TA397 no tiene reparos con disfrazarse de los gobiernos de otros países, incluidos los aliados indios”, dijo la compañía de seguridad empresarial.
“Si admisiblemente los objetivos de TA397 en estas campañas eran entidades turcas y chinas con presencia en Europa, señala que el corro probablemente tiene conocimiento y visibilidad de los asuntos legítimos de Madagascar y Mauricio y usa el material en operaciones de gancho”.
Encima, se ha antitético que Bitter se involucra en una actividad a mano en dos campañas distintas que se dirigen a organizaciones gubernamentales a realizar nuevas actividades de enumeración en los anfitriones específicos y eliminar cargas enseres adicionales como Kugelblitz y Bdarkrat, un troyano .NET que se documentó por primera vez en 2019.
Cuenta con capacidades de troyano de entrada remoto tipificado, como resumir información del sistema, ejecutar comandos de shell, descargar archivos y establecer archivos en el host comprometido.
 |
| Familias de malware de Bitter’s |
Algunas de las otras herramientas conocidas en su atarazana están a continuación –
- Artradownloaderun descargador escrito en C ++ que recopila información del sistema y utiliza solicitudes HTTP para descargar y ejecutar un archivo remoto
- Keyloggerun módulo C ++ utilizado en varias campañas para memorizar pulsaciones de teclas y contenido de portapapeles
- WSCSPL Backdooruna puerta trasera que se entrega a través de Artradownloader y admite comandos para obtener información de la máquina, ejecutar instrucciones remotas y descargar y ejecutar archivos
- Muuydownloader (todavía conocido como ZXXZ), un troyano que permite la ejecución de código remoto de las cargas enseres recibidas de un servidor remoto
- Rata de almendrasun troyano de .NET que ofrece la funcionalidad básica de compilación de datos y la capacidad de ejecutar comandos arbitrarios y transferir archivos
- Orpcbackdooruna puerta trasera que utiliza el protocolo RPC para comunicarse con un servidor de comando y control (C2) y ejecuta instrucciones emitidas por el cirujano
- Kiwistealerun robador que búsqueda archivos que coincidan con un conjunto predefinido de extensiones, son menores de 50 MB y se han modificado en el posterior año, y los exfiltran a un servidor remoto
- Kugelblitzun cargador de shellcode que se usa para implementar el entorno Havoc C2
Vale la pena señalar que Orpcbackdoor ha sido atribuido por el equipo conocido 404 a un actor de amenaza llamado Mysterious Elephant, que dijo que se superpone con otros grupos de amenazas alineados en la India, incluidos Sidewinder, Patchwork, Confucius y Bitter.
El investigación de la actividad de las tablas prácticas destaca un “horario de trabajo de trabajo de lunes a viernes en la zona horaria tipificado india (IST)”, que todavía es consistente con el momento en que se producen registros de dominio y emisiones de certificados TLS.
“TA397 es un actor de amenaza centrado en el espionaje que probablemente opera en nombre de una ordenamiento de inteligencia india”, dijeron los investigadores. “Existe una clara indicación de que la mayoría de la actividad relacionada con la infraestructura ocurre durante el horario comercial tipificado en la zona horaria IST”.
