Archivos de Reuniones Falsas Utilizados en Campaña de Espionaje Cibernético Contra India

Se ha descubierto que los hackers de APT36 de Pakistán están utilizando archivos de acceso directo armados, phishing, malware y robo de 2FA para atacar los sistemas BOSS Linux en India.

El grupo de hackers con base en Pakistán, APT36, también conocido como Transparent Tribe, ha iniciado una nueva operación de ciberespionaje contra los sistemas del gobierno indio, según la investigación realizada por CYFIRMA.

El grupo ha creado un malware diseñado para el sistema operativo BOSS Linux de la India, demostrando su creciente capacidad para adaptarse a diferentes entornos.

El ataque comienza con correos electrónicos de spear phishing que contienen un archivo llamado “Meeting_Notice_Ltr_ID1543ops.pdf_.zip”. Una vez abierto, revela un archivo de acceso directo falso llamado “Meeting_Ltr_ID1543ops.pdf.desktop.” Aunque parece un PDF inofensivo, el archivo está programado para descargar secretamente software malicioso.

“El archivo ‘.desktop’ mostrado está diseñado para hacerse pasar por un acceso directo a PDF ordinario, pero contiene una cadena de comandos incrustados en su línea Exec= que se ejecutan automáticamente y secuencialmente tan pronto como se lanza el archivo. Esto permite al atacante realizar acciones encubiertas mientras mantiene al víctima desprevenida”, explicaron las investigadoras.

El malware emplea métodos engañosos para permanecer indetectable al abrir un PDF legítimo en Firefox, lo que hace que los usuarios crean que no ha ocurrido nada sospechoso.

El programa oculto opera en modo sigiloso robando datos y se configura para reiniciarse cada vez que se enciende la computadora.

Los archivos maliciosos descubiertos por CYFIRMA se conectan a dos dominios recién registrados “securestore[.]cv” y “modgovindia[.]space” que sirven como servidores de comando y control para los atacantes. A través de estos servidores, los hackers pueden transmitir comandos y obtener datos robados, mientras mantienen su acceso a las redes gubernamentales.

CYFIRMA afirma que APT36 opera como un grupo patrocinado por un estado y ha estado activo por más de diez años, apuntando principalmente a instituciones gubernamentales indias, junto con organizaciones militares y diplomáticas.

Hacker News informa que esta campaña muestra la creciente sofisticación de APT36. Además de apuntar a Linux BOSS, el grupo también ha desarrollado malware para Windows en la misma campaña, demostrando un enfoque de doble plataforma.

El código malicioso realiza reconocimientos del sistema mientras ejecuta falsas comprobaciones anti-depuración y anti-sandbox para evitar su detección, según CloudSEK. Los ataques dieron lugar a la implementación del backdoor de la Tribu Transparente Poseidón, que permite a los atacantes robar credenciales, realizar vigilancia a largo plazo, así como movimiento lateral de la red dentro de las redes gubernamentales, según informaron los investigadores de Hunt.io.

Hacker News señala que esta actividad llega poco después de que la Tribu Transparente fuera sorprendida atacando a organizaciones de defensa indias a través de portales de inicio de sesión falsificados diseñados para robar credenciales e incluso Kavach, el sistema de autenticación de dos factores (2FA) del gobierno indio.

Las víctimas que ingresan su correo electrónico y códigos Kavach en los sitios de phishing entregan, sin saberlo, los datos de inicio de sesión directamente a los atacantes.

CYFIRMA señaló: “La capacidad de APT36 para personalizar sus mecanismos de entrega de acuerdo con el entorno operativo de la víctima aumenta así sus posibilidades de éxito, manteniendo un acceso persistente a la infraestructura gubernamental crítica y evadiendo los controles de seguridad tradicionales.

CYFIRMA advirtió que “el análisis indica una campaña coordinada de ciberespionaje atribuida a APT36, que aprovecha los archivos .desktop armados para atacar entornos de BOSS Linux dentro de las entidades del gobierno indio.”