Negli ultimi mesi diverse entità indiane legate a difesa e governo sono finite nel mirino di campagne di cyber spionaggio costruite per colpire sia Windows sia Linux con malware di tipo Remote Access Trojan. L’obiettivo è ottenere accesso remoto persistente, rubare dati sensibili e mantenere una presenza stabile sui sistemi compromessi per operazioni a lungo termine. Tra i gruppi attribuiti a queste attività emergono cluster allineati al Pakistan noti per affinare tecniche già collaudate, puntando su bassa rumorosità operativa e su un ampliamento della copertura multipiattaforma.

Il punto in comune delle campagne è l’uso sistematico di phishing. Le email malevole includono allegati o link di download che reindirizzano verso infrastrutture controllate dagli attaccanti. Da qui vengono distribuiti diversi formati usati come vettori iniziali, tra cui collegamenti LNK su Windows, binari ELF per ambienti Linux e componenti aggiuntivi per presentazioni in grado di avviare catene di infezione a più stadi. Una volta eseguito il primo elemento, l’attacco procede con il download o la decrittazione di ulteriori payload, fino al rilascio del RAT finale e alla connessione con server di comando e controllo C2.

Catena di infezione osservata in ambiente Windows

Una catena osservata in ambiente Windows sfrutta un file LNK che avvia mshta.exe per eseguire un file HTA ospitato anche su domini legittimi compromessi. Il contenuto include script che decifrano una DLL e successivamente estraggono dati incorporati per scrivere un documento esca in formato PDF, aprirlo per ingannare la vittima e nel frattempo contattare il C2. Dopo la visualizzazione del file esca, il malware può verificare la presenza di prodotti di sicurezza installati e adattare i meccanismi di persistenza per ridurre la probabilità di rilevamento.

Famiglie di malware e funzionalità principali

Tra le famiglie di malware citate compaiono Geta RAT, Ares RAT e DeskRAT.

• Geta RAT: offre un set esteso di comandi per ricognizione del sistema, enumerazione e terminazione di processi, raccolta di credenziali, gestione degli appunti anche con sostituzione dei contenuti, screenshot, operazioni su file, esecuzione di comandi e raccolta dati da dispositivi USB.
• Linux (Ares RAT): è stata rilevata una variante che utilizza un binario Go come stadio iniziale per installare Ares RAT basato su Python tramite script di shell scaricati da server esterni, mantenendo funzionalità simili di esfiltrazione e controllo remoto.
• DeskRAT: un’altra campagna impiega DeskRAT, sempre in Golang, distribuito tramite un componente aggiuntivo di PowerPoint che avvia macro e scarica il malware da un server remoto, confermando l’interesse per tecniche stealth e per accesso di lunga durata in settori strategici.