Se ha enemigo un comunidad de piratería con lazos distintos de Pakistán dirigidos a organizaciones gubernamentales indias con una transformación modificada de un troyano de comunicación remoto (rata) llamado Drat.
La actividad ha sido atribuida por el Corro Insikt de Future a un actor de amenazas rastreado como TAG-140, que dijo que se superpone con Sidecopy, un colectivo adversario evaluado como un sublúster activo internamente de la tribu transparente (además conocida como apt-c-56, apt36, datebug, tierra karkaddan, leoparda mítica, operación casajor y esquema).
“TAG-140 ha demostrado constantemente el avance y la variedad iterativa en sus técnicas de cantera de malware y entrega”, dijo la compañía propiedad de MasterCard en un estudio publicado el mes pasado.
“Esta última campaña, que falsificó el Profesión de Defensa indio a través de un portal de comunicados de prensa clonado, marca un cambio leve pero trascendental tanto en la edificación de malware como en la funcionalidad de comando y control (C2)”.
La lectura actualizada de Drat, llamamiento Drat V2, es la última añadidura al cantera de rata de Sidecopy, que además comprende otras herramientas como Action Rat, Allakore Rat, Ares Rat, Ruckback Rat, Reverserat, Spark Rat y Xeno Rat para infectar Windows y Linux Systems.
La actividad de ataque demuestra el manual de jugadas en proceso del adversario, destacando su capacidad de refinar y diversificar a una “suite intercambiable” de malware de rata para cosechar datos confidenciales para complicar los esfuerzos de atribución, detección y monitoreo.
Los ataques orquestados por el actor de amenazas han ampliado su enfoque de orientación más allá del gobierno, la defensa, los sectores académicos y académicos para rodear a las organizaciones afiliadas al ferrocarril del país, el petróleo y el gas y los ministerios de asuntos externos. Se sabe que el comunidad está activo desde al menos 2019.
La secuencia de infección documentada por el futuro registrado aprovecha un enfoque de estilo ClickFix que falsifica el portal oficial de comunicados de prensa del Profesión de Defensa de la India para soltar una lectura basada en .NET de DRAT a una nueva transformación compilada por Delphi.
El sitio web falsificado tiene un enlace activo que, cuando se hace clic, inicia una secuencia de infección que copia subrepticiamente un comando malvado al portapapeles de la máquina e insta a la víctima a pegarla y ejecutarla iniciando un shell de comando.
Esto provoca la recuperación de un archivo de aplicación HTML (HTA) desde un servidor foráneo (“Trade4Wealth (.) IN”), que luego se ejecuta mediante MSHTA.EXE para difundir un cargador llamado BroadRespect. El cargador es responsable de descargar y difundir un PDF de señuelo, configurar la persistencia a través de los cambios en el registro de Windows y descargar y ejecutar DRAT V2 desde el mismo servidor.
Drat V2 agrega un nuevo comando para la ejecución del comando de shell arbitrary, mejorando su flexibilidad posterior a la explotación. Incluso ofusca sus direcciones IP C2 utilizando la codificación de base64 y actualiza su protocolo TCP iniciado por el servidor personalizado para asilar la entrada de comandos en ASCII y Unicode. Sin retención, el servidor replica solo en ASCII. El DRAT diferente requiere unicode tanto para entrada como para salida.
“En comparación con su predecesor, Drat V2 reduce la ofuscación de cadenas al surtir la mayoría de los encabezados de comando en texto sin formato, probablemente priorizando la confiabilidad de estudio sobre el sigilo”, dijo Future. “Drat V2 carece de técnicas avanzadas contra el estudio y se friso en métodos básicos de infección y persistencia, lo que lo hace detectable a través del estudio inmutable y conductual”.
Otras capacidades conocidas le permiten realizar una amplia escala de acciones en hosts comprometidos, incluida la realización de gratitud, cargar cargas aperos adicionales y exfiltrando datos.
“Estas funciones proporcionan a TAG-140 un control persistente y flexible sobre el sistema infectado y permiten una actividad de explotación automatizada e interactiva sin requerir la implementación de herramientas de malware auxiliar”, dijo la compañía.
“Drat V2 parece ser otra añadidura modular en oportunidad de una proceso definitiva, reforzando la probabilidad de que TAG-140 persista en ratas rotativas en campañas para oscurecer las firmas y surtir la flexibilidad operativa”.
Las campañas de APT36 entregan a Ares Rat y Depomoji
La actividad de amenazas patrocinada por el estado y las operaciones hacktivistas coordinadas de Pakistán estallaron durante el conflicto de India-Pakistán en mayo de 2025, con APT36 capitalizando los eventos para distribuir Ares Rat en ataques dirigidos a la defensa, el gobierno, la lozanía, la atención médica, la educación y los sectores de telecomunicaciones.
“Con el despliegue de herramientas como Ares Rat, los atacantes obtuvieron comunicación remoto completo a sistemas infectados, abriendo la puerta a la vigilancia, el robo de datos y el potencial boicoteo de los servicios críticos”, señaló Seqrite Labs en mayo de 2025.
Se ha enemigo que las recientes campañas de APT36 difunden correos electrónicos de phishing cuidadosamente elaborados que contienen archivos adjuntos de PDF maliciosos para atacar al personal de defensa india.
Los mensajes se basan en las órdenes de operación del Centro Doméstico de Informática (NIC) y persuaden a los destinatarios a hacer clic en un renuevo integrado internamente de los documentos PDF. Hacerlo da como resultado la descarga de un ejecutable que muestra engañosamente un icono PDF y emplea el formato de doble extensión (es afirmar, *.pdf.exe) para que parezca genuino para los usuarios de Windows.
El binario, adicionalmente de presentar características anti-fondos y anti-VM para el estudio Sidestep, está diseñado para iniciar una carga útil de la próxima etapa en la memoria que puede enumerar archivos, registrar las teclas de teclas, capturar contenido de portapapeles, obtener credenciales de navegador y comunicarse con un servidor C2 para la exfiltración de datos y el comunicación remoto.
“APT36 plantea una amenaza cibernética significativa y continua para la seguridad franquista, específicamente dirigida a la infraestructura de defensa india”, dijo Cyfirma. “El uso del comunidad de tácticas de phishing avanzadas y robo de credenciales ejemplifica la sofisticación en proceso del espionaje cibernético novedoso”.
Otra campaña detallada por el Centro de Inteligencia de Amenazos 360 ha diligente una nueva transformación de un malware basado en GO que se conoce como parte de los archivos zip atrapados en boby distribuidos a través de ataques de phishing. El malware, dijo la compañía de ciberseguridad con sede en Beijing, es un software de ejecutable ELF escrito en Golang y utiliza Google Cloud para C2, que marca un cambio de Discord.
“Adicionalmente, los complementos de robo de navegador y las herramientas de sucursal remota se descargarán para obtener más operaciones de robo y control remoto”, dijo. “La función de descargar la transformación de ascomoji es similar a la carga encontrada antaño, pero el desagrado aludido usó el servidor de discordias, mientras que esta vez usó el servicio en la nimbo de Google para la comunicación”.
Confucio deja caer a Wooperstealer y Anondoor
Los hallazgos se producen cuando el actor cibernético conocido como Confucio se ha vinculado a una nueva campaña que despliega un robador de información llamado Weoperstealer y una puerta trasera modular previamente indocumentada Anondoor.
Se evalúa que Confucio es un comunidad de amenazas que opera con objetivos que se alinean con la India. Se cree que es activo desde al menos 2013, dirigido a unidades gubernamentales y militares en el sur de Asia y Asia Uruguayo.
Según el equipo conocido 404 de Seebug, los ataques de múltiples etapas emplean archivos de comunicación directo de Windows (LNK) como un punto de partida para entregar Anondoor utilizando técnicas de carga vecino de DLL, posteriormente de qué información del sistema se recopila y Wooperstealer se obtiene desde un servidor remoto.
La puerta trasera tiene una tarea completa, lo que permite a un atacante emitir comandos que pueden ejecutar comandos, tomar capturas de pantalla, descargar archivos, volcar contraseñas del navegador Chrome, así como archivos y carpetas de directorio.
“Ha evolucionado desde el troyano de espionaje único previamente expuesto de descarga y ejecución a una puerta trasera modular, lo que demuestra una capacidad relativamente reincorporación de iteración tecnológica”, dijo el equipo KnowSec 404. “Su componente de puerta trasera se encapsula en un archivo C# DLL y evadió la detección de sandbox cargando el método especificado a través de Invoke”.
