El grupo de amenazas persistentes avanzadas (APT) conocido como Tribu transparente se ha atribuido a una nueva campaña de phishing en curso dirigida a estudiantes de varias instituciones educativas en India al menos desde diciembre de 2021.
«Esta nueva campaña también sugiere que la APT está expandiendo activamente su red de víctimas para incluir usuarios civiles», Cisco Talos dijo en un informe compartido con The Hacker News.
También rastreado bajo los apodos APT36, Operation C-Major, PROJECTM, Mythic Leopard, se sospecha que el actor de la Tribu Transparente es de origen paquistaní y se sabe que ataca a entidades gubernamentales y grupos de expertos en India y Afganistán con malware personalizado como CrimsonRAT, ObliqueRAT y CapraRAT.
Pero la focalización en instituciones educativas y estudiantes, primero observado por K7 Labs, con sede en India, en mayo de 2022, indica una desviación del enfoque típico del adversario.
«El último objetivo del sector educativo puede alinearse con los objetivos estratégicos de espionaje del estado-nación», dijeron los investigadores de Cisco Talos a The Hacker News. «Las APT con frecuencia se dirigirán a personas en universidades y organizaciones de investigación técnica para establecer acceso a largo plazo para desviar datos relacionados con proyectos de investigación en curso».
Las cadenas de ataque documentadas por la firma de seguridad cibernética implican entregar un maldoc a los objetivos, ya sea como un archivo adjunto o un enlace a una ubicación remota a través de un correo electrónico de phishing, lo que finalmente conduce a la implementación de CrimsonRAT.
«Este APT hace un esfuerzo sustancial para que sus víctimas se infecten a sí mismas mediante ingeniería social», dijeron los investigadores. «Los señuelos de correo electrónico de Transparent Tribes intentan parecer lo más legítimos posible con contenido pertinente para convencer a los objetivos de que abran los documentos maliciosos o visiten los enlaces maliciosos proporcionados».
Rata carmesítambién conocido como SEEDOOR y Scarimson, funciones como el implante básico elegido por el actor de amenazas para establecer acceso a largo plazo a las redes de las víctimas, así como filtrar datos de interés a un servidor remoto.
Cortesía de su arquitectura modular, el malware permite a los atacantes controlar de forma remota la máquina infectada, robar las credenciales del navegador, registrar pulsaciones de teclas, capturar capturas de pantalla y ejecutar comandos arbitrarios.
Es más, se dice que varios de estos documentos señuelo están alojados en dominios con temas educativos (p. ej., «studentsportal[.]co») que se registraron en junio de 2021, con la infraestructura operada por un proveedor de servicios de alojamiento web pakistaní llamado Zain Hosting.
«Todavía se desconoce todo el alcance del papel de Zain Hosting en la organización de la Tribu Transparente», señalaron los investigadores. «Este es probablemente uno de los muchos terceros que Transparent Tribe emplea para preparar, organizar y/o implementar componentes de su operación».