Een hackgroep met andere banden dan Pakistan is gevonden op de Indiase overheidsorganisaties met een aangepaste variant van een externe toegang Trojan (rat) genaamd Drat.
De activiteit is toegeschreven door de insikt-groep van de Future aan een bedreigingsacteur die werd gevolgd als TAG-140, waarvan het zei dat het overlapt met Sidecopy, een tegenstanders collectief beoordeeld als een operationeel subcluster binnen transparante stam (aka APT-C-56, APT36, DateBug, Earth Karkaddan, Mythic Leopard, Operatie C-MaJor, Operatie C-MaJor, Operatie C-MaJor, Operatie C-MaJor, Operatie C-MaJor, Operatie C-MaJor, Operatie C-MaJor, en Projectm).
“TAG-140 heeft consequent iteratieve vooruitgang en variëteit aangetoond in zijn malware-arsenaal- en leveringstechnieken,” zei het bedrijf van MasterCard in een analyse die vorige maand werd gepubliceerd.
“Deze nieuwste campagne, die het Indiase ministerie van Defensie vervalste via een gekloond persberichtsportaal, markeert een lichte maar opmerkelijke verschuiving in zowel malware-architectuur als command-and-control (C2) -functionaliteit.”
De bijgewerkte versie van DRAT, DRAT V2 genaamd, is de nieuwste toevoeging aan Sidecopy’s Rat Arsenal, dat ook andere tools omvat, zoals actieratten, Allakore Rat, Ares Rat, Curlback Rat, Reverserat, Spark Rat en Xeno Rat om Windows en Linux -systemen te infecteren.
De aanvalsactiviteit demonstreert het evoluerende playbook van de tegenstander en benadrukt het vermogen om te verfijnen en te diversifiëren naar een “uitwisselbare suite” van rattenmalware om gevoelige gegevens te oogsten om toeschrijving, detectie en monitoringinspanningen te compliceren.
Aanvallen georkestreerd door de dreigingsacteur hebben hun targetingfocus verbreed dan de overheid, defensie-, maritieme en academische sectoren om organisaties te omvatten die zijn aangesloten bij de spoorweg-, olie- en gas- en externe zaken van het land. Het is bekend dat de groep sinds minstens 2019 actief is.
De infectiescombinatie gedocumenteerd door opgenomen toekomst heft een benadering in Clickfix-stijl die het officiële persbericht van het Indiase ministerie van Defensie vervalst om een .NET-gebaseerde versie van Drat te laten vallen naar een nieuwe Delphi-gecompileerde variant.
De namaakwebsite heeft een actieve link die, wanneer geklikt, een infectiescène initieert die heimelijk een kwaadwillende opdracht naar het klembord van de machine kopieert en het slachtoffer aanspoort om het te plakken en uit te voeren door een opdrachtschelp te starten.
Dit veroorzaakt het ophalen van een HTML -applicatie (HTA) -bestand van een externe server (“Trade4Wealth (.) IN”), die vervolgens wordt uitgevoerd door middel van MSHTA.exe om een lader te starten met de naam BROTERASPUT. De lader is verantwoordelijk voor het downloaden en starten van een Decoy -PDF, het instellen van persistentie door Windows -registerwijzigingen en het downloaden en uitvoeren van Drat V2 van dezelfde server.
Drat V2 voegt een nieuw opdracht toe voor de uitvoering van willekeurige shell-commando, waardoor de flexibiliteit na de exploitatie wordt verbeterd. Het verdoezelt ook zijn C2 IP-adressen met behulp van Base64-codering en werkt het aangepaste server-geïnitieerde TCP-protocol bij ter ondersteuning van opdrachteninvoer in zowel ASCII als Unicode. De server reageert echter alleen in ASCII. De originele Drat vereist Unicode voor zowel invoer als uitvoer.
“In vergelijking met zijn voorganger vermindert DRAT V2 de verduistering van de string door de meeste commando -headers in platte tekst te houden, waarschijnlijk prioriteren met de betrouwbaarheid van parsing boven stealth,” zei Future. “Drat V2 mist geavanceerde anti-analysetechnieken en is gebaseerd op basisinfectie- en persistentiemethoden, waardoor het detecteerbaar is via statische en gedragsanalyse.”
Met andere bekende mogelijkheden kan het een breed scala aan acties uitvoeren op gecompromitteerde hosts, waaronder het uitvoeren van verkenning, het uploaden van extra payloads en exfiltrerende gegevens.
“Deze functies bieden TAG-140 met aanhoudende, flexibele controle over het geïnfecteerde systeem en zorgen voor zowel geautomatiseerde als interactieve post-exploitatie-activiteit zonder de implementatie van hulpmalware-tools te vereisen,” zei het bedrijf.
“Drat V2 lijkt een andere modulaire toevoeging te zijn in plaats van een definitieve evolutie, waardoor de waarschijnlijkheid wordt versterkt dat TAG-140 zal blijven draaien in roterende ratten over campagnes om handtekeningen te verdoezelen en operationele flexibiliteit te behouden.”
APT36 -campagnes leveren Ares Rat en Disgomoji
Door de staat gesponsorde dreigingsactiviteit en gecoördineerde hacktivistische activiteiten uit Pakistan laaide op tijdens het conflict in India-Pakistan in mei 2025, waarbij APT36 de gebeurtenissen in gebruik maakten van de gebeurtenissen om ARES-rat te distribueren in aanvallen op defensie, overheid, IT, gezondheidszorg, onderwijs en telecomsectoren.
“Met de inzet van tools zoals Ares Rat, kregen aanvallers volledige toegang op afstand tot geïnfecteerde systemen – die de deur openden voor bewaking, gegevensdiefstal en potentiële sabotage van kritieke diensten,” merkte Seqrite Labs in mei 2025 op.
Recente APT36 -campagnes zijn gevonden om zorgvuldig vervaardigde phishing -e -mails te verspreiden die kwaadaardige PDF -bijlagen bevatten aan doelwit Indian Defence -personeel.
De berichten maskeren als inkooporders van het National Informatics Center (NIC) en overtuigen de ontvangers om te klikken op een knop ingebed in de PDF -documenten. Dit resulteert in de download van een uitvoerbaar bestand dat bedrieglijk een PDF -pictogram weergeeft en het dubbele extensieformaat (dwz, *.pdf.exe) gebruikt om legitiem te lijken voor Windows -gebruikers.
De binaire, naast het bevatten van anti-debugging- en anti-VM-functies om analyse te sidestep, is ontworpen om een payload in de volgende fase in het geheugen te starten die bestanden, logtoezen, vastleggen, klembordinhoud vastleggen, browsersreferenties verkrijgen en een C2-server voor gegevensuitbreiding en externe toegang kunnen maken.
“APT36 vormt een belangrijke en voortdurende cyberdreiging voor de nationale veiligheid, met name gericht op de Indiase defensie -infrastructuur,” zei Cyfirma. “Het gebruik van de groep van geavanceerde phishing -tactieken en diefstal van de referentie is een voorbeeld van de zich ontwikkelende verfijning van moderne cyberspionage.”
Een andere campagne gedetailleerd door 360 Threat Intelligence Center heeft een nieuwe variant van een Go-gebaseerde malware aangeduid als Disgomoji als onderdeel van booby-ingepakte zip-bestanden die zijn gedistribueerd via phishing-aanvallen. De malware, het in Beijing gevestigde cybersecuritybedrijf, zei een ELF-uitvoerbaar programma geschreven in Golang en gebruikt Google Cloud voor C2, wat een verschuiving van discord markeert.
“Bovendien worden brows-diefstalplug-ins en externe managementtools gedownload om verdere diefstalbewerkingen en afstandsbediening te bereiken,” zei het. “De functie van het downloaden van de Disgomoji -variant is vergelijkbaar met de eerder gevonden belasting, maar de vorige Disgomoji gebruikte de Discord Server, terwijl deze keer Google Cloud Service gebruikte voor communicatie.”
Confucius valt WoperStealer en Anondoor
De bevindingen komen als de cyberspionage -acteur die bekend staat als Confucius is gekoppeld aan een nieuwe campagne die een informatie -stealer wordt genaamd WoperStealer en een eerder modulaire backdoor -anondoor met zonder papieren.
Confucius wordt beoordeeld als een bedreigingsgroep die opereert met doelstellingen die aansluiten bij India. Er wordt aangenomen dat het sinds minstens 2013 actief is, gericht op overheids- en militaire eenheden in Zuid -Azië en Oost -Azië.
Volgens het Bekende SEC 404-team van Seebug gebruiken de multi-fase aanvallen Windows Shortcut (LNK) -bestanden als startpunt om Anondoor te leveren met behulp van DLL-side-load-technieken, waarna systeeminformatie wordt verzameld en WoperStealer wordt opgehaald van een externe server.
De achterdeur is volledig uitgeroeid, waardoor een aanvaller opdrachten kan uitgeven die opdrachten kunnen uitvoeren, screenshots kunnen maken, bestanden downloaden, wachtwoorden van de Chrome-browser kunnen dumpen, evenals lijstbestanden en mappen.
“Het is geëvolueerd van de eerder blootgestelde single spionage Trojan van het downloaden en uitvoeren van een modulaire achterdeur, wat een relatief hoog vermogen van technologische iteratie aantoont,” zei Bekendsec 404 -team. “De backdoor -component is ingekapseld in een C# DLL -bestand en ontweek Sandbox -detectie door de opgegeven methode te laden via Invoke.”
