El Tribu transparente El actor de amenazas se ha vinculado a un conjunto de documentos de Microsoft Office armados en intrusiones dirigidas contra el sector educativo indio para implementar una pieza de malware de mantenimiento continuo llamada Crimson RAT.
Si bien se sabe que el presunto grupo de amenazas con sede en Pakistán apunta a entidades militares y gubernamentales en el país, las actividades se han ampliado desde entonces para incluir la educación vertical.
El grupo de piratería, también llamado APT36, Operation C-Major, PROJECTM y Mythic Leopard, ha estado activo desde 2013. Las instituciones educativas han estado en el lado receptor de los ataques del adversario desde finales de 2021.
«Crimson RAT es un coherente grapa en el grupo arsenal de programas maliciosos el adversario usa en sus campañas», el investigador de SentinelOne Aleksandar Milenkoski dicho en un informe compartido con The Hacker News.
El malware tiene la funcionalidad de filtrar archivos y datos del sistema a un servidor controlado por un actor. También está construido con la capacidad de capturar capturas de pantalla, finalizar procesos en ejecución y descargar y ejecutar cargas útiles adicionales para registrar pulsaciones de teclas y robar credenciales del navegador.
El mes pasado, ESET atribuyó a Transparent Tribe una campaña de espionaje cibernético destinada a infectar a los usuarios de Android de India y Pakistán con una puerta trasera llamada CapraRAT.
Un análisis de las muestras de Crimson RAT ha revelado la presencia de la palabra «Wibemax», lo que corrobora una informe anterior de Fortinet. Si bien el nombre coincide con el de una empresa de desarrollo de software paquistaní, no está claro de inmediato si comparte alguna conexión directa con el actor de amenazas.
Dicho esto, vale la pena señalar que en el pasado, Transparent Tribe aprovechó la infraestructura operada por un proveedor de alojamiento web llamado Zain Hosting en ataques dirigidos al sector educativo indio.
Los documentos analizados por SentinelOne presentan contenido con temas educativos y nombres como asignación o Asignación-no-10, y utilizan código de macro malicioso para iniciar Crimson RAT. Otro método se refiere al uso de incrustaciones OLE para organizar el malware.
Domina el arte de la recolección de inteligencia de la Dark Web
Aprenda el arte de extraer inteligencia de amenazas de la web oscura. ¡Únase a este seminario web dirigido por expertos!
«Los documentos maliciosos que implementan esta técnica requieren que los usuarios hagan doble clic en un elemento del documento», explicó Milenkoski. «Estos documentos distribuidos por Transparent Tribe generalmente muestran una imagen (un gráfico ‘Ver documento’) que indica que el contenido del documento está bloqueado».
Esto, a su vez, engaña a los usuarios para que hagan doble clic en el gráfico para ver el contenido, activando así un paquete OLE que almacena y ejecuta Crimson RAT disfrazado como un proceso de actualización.
También se ha observado que las variantes de Crimson RAT retrasan su ejecución durante un período de tiempo específico que oscila entre un minuto y cuatro minutos, sin mencionar la implementación de diferentes técnicas de ofuscación utilizando herramientas como Crypto Ofuscator y Eazfuscator.
«Transparent Tribe es un actor de amenazas altamente motivado y persistente que actualiza periódicamente su arsenal de malware, su libro de jugadas operativas y su objetivo», dijo Milenkoski. «Las estrategias operativas y de orientación en constante cambio de la Tribu Transparente requieren una vigilancia constante para mitigar la amenaza que representa el grupo».