Cybersecurity-onderzoekers hebben details bekendgemaakt van een spearphishing-campagne die waarschijnlijk is ondernomen door de aan Pakistan verbonden landen Zijkopiëren groep die zich richt op het Afghaanse Ministerie van Financiën met een open-source trojan voor externe toegang genaamd Xeno RAT.
“De campagne begint met een spearphishing-levering – een ZIP-archief met daarin een kwaadaardig LNK-bestand met een zorgvuldig vervaardigde bestandsnaam in de Pashtoe-taal”, zei Seqrite Labs-onderzoeker Dixit Panchal in een technisch overzicht van de activiteit.
Als onderdeel van de campagne zijn ook provinciale inkomsten- en financiële directoraten, Pashto-sprekende overheidsfunctionarissen en overheidspersoneel op provinciaal niveau doelwit. De campagne heeft de codenaam Operatie XENOFISCAL gekregen.
De keuze voor het Pashto voor het lokbestand is een bewuste keuze van de aanvaller, aangezien dit de voertaal is die in Afghaanse regeringskringen wordt gesproken. Dit aspect weerspiegelt de bekendheid van de aanvaller met de doelomgeving.
SideCopy is de naam die wordt gegeven aan een aan Pakistan gelinkte dreigingsgroep die opereert onder de bredere paraplu van Transparent Tribe (ook bekend als APT36), en een breed scala aan malwarefamilies gebruikt om gevoelige gegevens van gecompromitteerde hosts te stelen. In april 2025 werd de tegenstander toegeschreven aan een reeks aanvallen gericht op verschillende sectoren in India met Xeno RAT, Spark RAT en CurlBack RAT.
In dat licht bezien is de nieuwste campagne een voortzetting van een breder cluster van kwaadaardige cyberactiviteiten gericht op Zuid-Aziatische entiteiten.
Eenmaal uitgevoerd, maakt het Windows Shortcut (LNK)-bestand gebruik van “mshta.exe” om een externe HTML-applicatie (HTA) op te halen uit een gecompromitteerd Afghaans onderwijsdomein, wat leidt tot de uitvoering van versluierd JavaScript in het geheugen. De malware zorgt ook voor persistentie op basis van het register door Microsoft Edge na te bootsen, terwijl Xeno RAT 1.8.7 en een lokdocument als afleidingsmechanisme worden verwijderd door middel van een op DLL gebaseerde lader.
Xeno RAT is ontworpen om via TCP verbinding te maken met een externe server om opdrachten van de operator af te handelen. De malware is uitgerust om externe DLL-modules te laden en uit te voeren, gegevens naar de server te verzenden, de malware via een geplande taak te starten, antivirusinformatie op te halen, SOCKS5 proxy-gebaseerde netwerktunneling te ondersteunen, bestandsbewerkingen uit te voeren, toetsaanslagen te loggen, schermafbeeldingen te maken, het klembord te controleren, webcam/microfoon te volgen, persistentiemethoden te verwijderen en zichzelf van de host te verwijderen.
De onthulling komt nadat details naar voren zijn gekomen over een gerichte phishing-operatie waarbij gebruik wordt gemaakt van bewapende Linux .desktop-bestanden om de Indiase militaire infrastructuur aan te vallen met behulp van contractgerelateerde lokmiddelen die verband houden met de aanschaf van Indiase gepantserde voertuigen. De campagne wordt beoordeeld als het werk van Transparent Tribe.
“De campagne lijkt zich te richten op individuen die verbonden zijn met de Indiase militaire en defensie-infrastructuur-ecosystemen met behulp van op WhatsApp gebaseerde social engineering en geënsceneerde levering van shell-payloads”, zei veiligheidsonderzoeker RD Tarun in een rapport dat vorige maand werd gepubliceerd.
“Eenmaal uitgevoerd, initieert de kwaadaardige .desktop-launcher een zwaar versluierde shell-gebaseerde infectieketen met gefaseerd ophalen van de payload, inline decoderingsroutines en de inzet van een op Golang gebaseerd ELF-implantaat, in dit rapport bijgehouden als DeskRAT.”
