Un actor de amenazas de probable origen paquistaní se ha atribuido a otra campaña diseñada para objetivos de interés de puerta trasera con un troyano de acceso remoto basado en Windows llamado CrimsonRAT desde al menos junio de 2021.
«Transparent Tribe ha sido un grupo APT muy activo en el subcontinente indio», investigadores de Cisco Talos dijo en un análisis compartido con The Hacker News. «Sus objetivos principales han sido el personal militar y del gobierno en Afganistán y la India. Esta campaña promueve este objetivo y su objetivo central de establecer un acceso a largo plazo para el espionaje».
El mes pasado, la amenaza persistente avanzada amplió su conjunto de herramientas de malware para comprometer los dispositivos Android con una puerta trasera llamada CapraRAT que exhibe un alto «grado de cruce» con CrimsonRAT.
El último conjunto de ataques detallado por Cisco Talos implica el uso de dominios falsos que imitan al gobierno legítimo y organizaciones relacionadas para entregar las cargas maliciosas, incluido un dispositivo de escenario basado en Python que se usa para instalar herramientas de reconocimiento basadas en .NET y RAT, así como barebones. Implante basado en .NET para ejecutar código arbitrario en el sistema infectado.
Además de evolucionar continuamente sus tácticas de implementación y funcionalidades maliciosas, se sabe que Transparent Tribe se basa en una variedad de métodos de entrega, como ejecutables que se hacen pasar por instaladores de aplicaciones legítimas, archivos de archivo y documentos armados para apuntar a entidades e individuos indios.
Uno de los ejecutables del descargador se hace pasar por Kavach (que significa «armadura» en hindi), una solución de autenticación de dos factores exigida por el gobierno indio y requerida para acceder a los servicios de correo electrónico, a fin de entregar los artefactos maliciosos.
También se utilizan imágenes de señuelo con el tema de COVID-19 y archivos de disco duro virtual (también conocidos como archivos VHDX) que se utilizan como plataforma de lanzamiento para recuperar cargas útiles adicionales de un servidor de comando y control remoto, como CrimsonRAT, que se utiliza para recopilar datos confidenciales y establecer acceso a largo plazo a las redes de las víctimas.
«El uso de múltiples tipos de vehículos de entrega y nuevo malware a medida que se puede modificar fácilmente para operaciones ágiles indica que el grupo es agresivo y persistente, ágil y en constante evolución de sus tácticas para infectar a los objetivos», dijeron los investigadores.