El presunto actor de amenazas alineado con Pakistán conocido como Copia lateral se ha observado aprovechando temas relacionados con la organización de investigación militar india como parte de una campaña de phishing en curso.
Esto implica el uso de un señuelo de archivo ZIP perteneciente a la Organización de Investigación y Desarrollo de Defensa de la India (DRDO) para entregar una carga útil maliciosa capaz de recopilar información confidencial, Fortinet FortiGuard Labs dicho en un nuevo informe.
El grupo de espionaje cibernético, con actividad que se remonta al menos a 2019, apunta a entidades que se alinean con los intereses del gobierno de Pakistán. Se cree que comparte superposiciones con otro equipo de hackers pakistaní llamado Transparent Tribe.
El uso de SideCopy de señuelos relacionados con DRDO para la distribución de malware fue señalado previamente por Cyble y la firma china de ciberseguridad. QiAnXin en marzo de 2023, y nuevamente por Equipo Cymru el mes pasado.
Curiosamente, se ha observado que las mismas cadenas de ataque cargan y ejecutan Action RAT, así como un troyano de acceso remoto de código abierto conocido como AllaKore RAT.
La última secuencia de infección documentada por Fortinet no es diferente, lo que lleva al despliegue de una cepa no especificada de RAT que es capaz de comunicarse con un servidor remoto y lanzar cargas útiles adicionales.
El desarrollo es una indicación de que SideCopy ha seguido llevando a cabo ataques de correo electrónico de phishing selectivo que utilizan señuelos de ingeniería social relacionados con el gobierno indio y las fuerzas de defensa para eliminar una amplia gama de malware.
 |
| Fuente: Equipo Cymru |
Un análisis más detallado de la infraestructura de comando y control (C2) de Action RAT realizado por Team Cymru ha identificado conexiones salientes desde una de las direcciones IP del servidor C2 a otra dirección 66.219.22[.]252que está geolocalizado en Pakistán.
La compañía de seguridad cibernética también dijo que observó «comunicaciones provenientes de 17 direcciones IP distintas asignadas a proveedores móviles pakistaníes y cuatro nodos de VPN de Proton», señalando conexiones entrantes a la dirección IP desde direcciones IP asignadas a proveedores de servicios de Internet indios.
Aprenda a detener el ransomware con protección en tiempo real
Únase a nuestro seminario web y aprenda cómo detener los ataques de ransomware en seco con MFA en tiempo real y protección de cuenta de servicio.
En total, se han detectado hasta 18 víctimas distintas en India que se conectan a servidores C2 asociados con Action RAT y 236 víctimas únicas, nuevamente ubicadas en India, que se conectan a servidores C2 asociados con AllaKore RAT.
Los últimos hallazgos dan crédito a los enlaces de SideCopy en Pakistán, sin mencionar que subrayan el hecho de que la campaña ha tenido éxito al dirigirse a los usuarios indios.
«La infraestructura Action RAT, conectada a SideCopy, es administrada por usuarios que acceden a Internet desde Pakistán», dijo Team Cymru. «La actividad de las víctimas es anterior a los informes públicos de esta campaña, en algunos casos por varios meses».