Las instituciones gubernamentales de stop nivel en Sri Lanka, Bangladesh y Pakistán se han convertido en el objetivo de una nueva campaña orquestada por un actor de amenaza conocido como Sidewinder.
“Los atacantes utilizaron correos electrónicos de phishing de garrocha combinados con cargas avíos geofencionadas para asegurar que solo las víctimas en países específicos recibieran el contenido malvado”, dijeron en un referencia de los investigadores de Acronis Santiago Pontiroli, Jozsef Gegeny y Prakas Thevendaran en un referencia que compartieron con The Hacker News.
Las cadenas de ataque aprovechan los señuelos de phishing de garrocha como punto de partida para activar el proceso de infección y implementar un malware conocido denominado StealerBot. Vale la pena señalar que el modus operandi es consistente con los recientes ataques de compras documentados por Kaspersky en marzo de 2025.
Algunos de los objetivos de la campaña, según Acronis, incluyen la Comisión Reguladora de Telecomunicaciones de Bangladesh, el Tarea de Defensa y el Tarea de Finanzas; Dirección de Pakistán de expansión técnico indígena; y el Área de Posibles Externos de Sri Lanka, Área de Operaciones del Caudal, Tarea de Defensa y Sotabanco Central.
Los ataques se caracterizan por el uso de fallas de ejecución de código remoto de abriles en la oficina de Microsoft (CVE-2017-0199 y CVE-2017-11882) como vectores iniciales para implementar malware capaz de ayudar el ataque persistente en entornos gubernamentales en todo el sur de Asia.
Los documentos maliciosos, cuando se abren, activan un exploit para CVE-2017-0199 para entregar cargas avíos de la próxima etapa responsables de instalar StealerBot mediante técnicas de carga anexo DLL.
Una táctica extraordinario adoptada por Sidewinder es que los correos electrónicos de phishing de garrocha se combinan con cargas avíos geofenciadas para asegurar que solo las víctimas que cumplan con los criterios de orientación reciban el contenido malvado. En el caso de que la dirección IP de la víctima no coincida, se envía un archivo RTF vano como un señuelo.
La carga útil maliciosa es un archivo RTF que armaba CVE-2017-11882, una vulnerabilidad de corrupción de memoria en el editor de ecuaciones, para propalar un cargador basado en shellcode que ejecuta el malware de strealerbot.
STEALERBOT, según Kaspersky, es un implante .NET que está diseñado para soltar malware adicional, propalar un shell inverso y compendiar una amplia tono de datos de hosts comprometidos, incluidas capturas de pantalla, pulsaciones de teclas, contraseñas y archivos.
“Sidewinder ha demostrado una actividad constante con el tiempo, manteniendo un ritmo constante de operaciones sin inactividad prolongada, un patrón que refleja la continuidad organizacional y la intención sostenida”, dijeron los investigadores.
“Un investigación más detallado de sus tácticas, técnicas y procedimientos (TTP) revela un stop naturaleza de control y precisión, asegurando que las cargas avíos maliciosas se entreguen solo a objetivos cuidadosamente seleccionados, y a menudo solo por un tiempo restringido”.
