Il gruppo di cyber spionaggio noto come Transparent Tribe, identificato anche come APT36, è stato collegato a una nuova ondata di attacchi informatici mirati contro enti governativi indiani, organizzazioni strategiche e mondo accademico. La campagna punta a ottenere accesso remoto persistente ai sistemi compromessi tramite un RAT (remote access trojan), capace di mantenere il controllo nel tempo e di supportare attività di raccolta informazioni.
Catena di infezione
La catena di infezione inizia con email di spear phishing che includono un archivio ZIP. All’interno si trova un file LNK di Windows camuffato da documento PDF, con contenuto PDF incorporato per ridurre i sospetti. Quando la vittima apre il collegamento, viene avviato mshta.exe per eseguire uno script HTA remoto. Questa tecnica sfrutta un componente legittimo del sistema operativo e rende più difficile individuare il comportamento malevolo. Lo script decifra e carica il payload finale direttamente in memoria, aumentando l’evasione dai controlli tradizionali, mentre in parallelo apre un PDF esca per simulare un normale flusso di lavoro.
Persistenza adattiva in base all’antivirus
Un elemento distintivo di questa campagna è la capacità del malware di adattare la persistenza in base all’antivirus rilevato sulla macchina. In alcuni scenari crea directory di lavoro in percorsi pubblici, salva un HTA offuscato su disco e deposita un LNK nella cartella di avvio automatico per rieseguire mshta.exe a ogni login. In altri casi usa file batch, copia diretta del payload nella Startup o combina esecuzione tramite batch con modifiche al Registro di sistema. Questo approccio modulare migliora la resilienza e riduce la probabilità di rimozione.
Funzionalità del RAT e varianti di campagna
Lo stadio successivo include una DLL che agisce da RAT completo, con funzioni di controllo remoto, gestione file, esfiltrazione dati, cattura screenshot, manipolazione clipboard e controllo dei processi. In una campagna correlata, un altro LNK mascherato da advisory governativo scarica un installer MSI da un server remoto, rilascia eseguibili e DLL in ProgramData, mostra un PDF esca e imposta persistenza tramite script HTA e chiavi di Registro per eseguire il componente principale dopo il riavvio. Alcune DLL comunicano con infrastrutture C2 tramite endpoint HTTP offuscati, con stringhe memorizzate al contrario per eludere il rilevamento statico, e includono funzioni di registrazione, heartbeat e comando remoto tramite cmd.exe, oltre a controlli anti-VM e ricognizione dei prodotti di sicurezza installati.
