Il gruppo di cyber spionaggio denominato TAG-140 ha intensificato le proprie attività contro organizzazioni governative indiane, in particolare nei settori della difesa e delle infrastrutture critiche come ferrovie, energia e ministeri degli affari esteri. La novità più rilevante riguarda l’utilizzo di una versione aggiornata del trojan di accesso remoto DRAT, ribattezzata DRAT V2, che rientra nell’arsenale malware del collettivo SideCopy, noto per la sua affiliazione a Transparent Tribe e per aver condotto campagne coordinate di spionaggio informatico dal 2019.

DRAT V2: caratteristiche e modalità di infezione

DRAT V2 rappresenta un’evoluzione significativa rispetto alle versioni precedenti, grazie all’integrazione di nuove funzioni come l’esecuzione arbitraria di comandi shell da remoto, oltre a una migliore offuscazione delle comunicazioni verso i server di comando e controllo. Questo malware, scritto sia in .NET che in Delphi, viene distribuito tramite portali web falsificati che imitano quelli del Ministero della Difesa indiano. Il meccanismo di infezione sfrutta tecniche di social engineering per indurre la vittima a incollare e eseguire manualmente comandi dannosi, favorendo così l’installazione del malware.

Una volta infettato il sistema, il loader BroaderAspect scarica un file PDF esca e modifica il Registro di sistema per garantirsi la persistenza. DRAT V2 rimane attivo sul dispositivo e consente agli attaccanti di eseguire una vasta gamma di operazioni, tra cui ricognizione, caricamento di altri payload e furto di dati sensibili. Nonostante le nuove capacità, DRAT V2 appare meno sofisticato sul piano dell’anti-analisi, risultando individuabile tramite strumenti di analisi statica e comportamentale.

Campagne di phishing e nuove strategie degli avversari

Parallelamente, sono state osservate campagne di phishing che sfruttano allegati PDF malevoli e file eseguibili con doppia estensione, mirate a personale della difesa indiana. Queste campagne, attribuite a APT36, permettono agli attaccanti di acquisire il pieno controllo remoto dei sistemi compromessi, facilitando la sorveglianza, l’esfiltrazione di credenziali e il furto di informazioni riservate. L’uso di malware Linux-specifici, come quelli distribuiti tramite email di phishing a tema BOSS Linux, evidenzia un’evoluzione nelle strategie degli avversari, che puntano a colpire anche ambienti istituzionali non Windows.

Infine, la minaccia si estende anche ad altri gruppi come Confucius, che sta diffondendo nuovi stealer e backdoor modulari, confermando la crescente complessità e modularità delle minacce rivolte alle infrastrutture governative e militari dell’area sudasiatica.