Transparent Tribe lanceert nieuwe RAT-aanvallen tegen de Indiase regering en de academische wereld

Cyberbeveiliging
Transparent Tribe lanceert nieuwe RAT-aanvallen tegen de Indiase regering en de academische wereld

De dreigingsactor die bekend staat als Transparent Tribe wordt toegeschreven aan een nieuwe reeks aanvallen gericht op Indiase overheids-, academische en strategische entiteiten met een trojan voor externe toegang (RAT) die hen voortdurende controle geeft over gecompromitteerde hosts.

“De campagne maakt gebruik van misleidende leveringstechnieken, waaronder een bewapend Windows-snelkoppelingsbestand (LNK) dat zich voordoet als een legitiem PDF-document en is ingesloten met volledige PDF-inhoud om argwaan van de gebruiker te omzeilen”, aldus CYFIRMA in een technisch rapport.

Transparent Tribe, ook wel APT36 genoemd, is een hackgroep die bekend staat om het opzetten van cyberspionagecampagnes tegen Indiase organisaties. De door de staat gesponsorde tegenstander, die van Indiase afkomst is, is minstens sinds 2013 actief.

De bedreigingsacteur beschikt over een steeds evoluerend arsenaal aan RAT’s om zijn doelen te verwezenlijken. Enkele van de trojans die Transparent Tribe de afgelopen jaren heeft gebruikt, zijn CapraRAT, Crimson RAT, ElizaRAT en DeskRAT.

De laatste reeks aanvallen begon met een spearphishing-e-mail met daarin een ZIP-archief met een LNK-bestand vermomd als pdf. Het openen van het bestand activeert de uitvoering van een extern HTML-toepassingsscript (HTA) met behulp van “mshta.exe” dat de uiteindelijke RAT-payload decodeert en rechtstreeks in het geheugen laadt. Tegelijkertijd downloadt en opent de HTA een lok-PDF-document om geen argwaan van gebruikers te wekken.

“Nadat de decoderingslogica tot stand is gebracht, maakt de HTA gebruik van ActiveX-objecten, met name WScript.Shell, om te communiceren met de Windows-omgeving”, aldus CYFIRMA. “Dit gedrag demonstreert omgevingsprofilering en runtime-manipulatie, waardoor compatibiliteit met het doelsysteem wordt gegarandeerd en de betrouwbaarheid van de uitvoering wordt vergroot. technieken die vaak worden waargenomen bij malware die misbruik maakt van ‘mshta.exe.'”

Een opmerkelijk aspect van de malware is het vermogen om de persistentiemethode aan te passen op basis van de antivirusoplossingen die op de geïnfecteerde machine zijn geïnstalleerd.

  • Als Kapsersky wordt gedetecteerd, wordt er een werkmap aangemaakt onder “C:UsersPubliccore”, wordt een versluierde HTA-payload naar schijf geschreven en wordt persistentie tot stand gebracht door een LNK-bestand in de opstartmap van Windows te plaatsen, dat op zijn beurt het HTA-script start met behulp van “mshta.exe”
  • Als Quick Heal wordt gedetecteerd, wordt persistentie tot stand gebracht door een batchbestand en een kwaadaardig LNK-bestand te maken in de opstartmap van Windows, de HTA-payload naar schijf te schrijven en deze vervolgens aan te roepen met behulp van het batchscript
  • Als Avast, AVG of Avira worden gedetecteerd, werkt het door de payload rechtstreeks naar de opstartmap te kopiëren en uit te voeren
  • Als er geen herkende antivirusoplossing wordt gedetecteerd, valt deze terug op een combinatie van batchbestandsuitvoering, registergebaseerde persistentie en payload-implementatie voordat het batchscript wordt gestart

Het tweede HTA-bestand bevat een DLL met de naam “iinneldc.dll” die functioneert als een volledig uitgeruste RAT en ondersteuning biedt voor systeembeheer op afstand, bestandsbeheer, gegevensexfiltratie, screenshot-opname, klembordmanipulatie en procescontrole.

“APT36 (Transparent Tribe) blijft een zeer hardnekkige en strategisch gedreven cyberspionagedreiging, met een aanhoudende focus op het verzamelen van inlichtingen gericht op Indiase overheidsinstanties, onderwijsinstellingen en andere strategisch relevante sectoren”, aldus het cyberbeveiligingsbedrijf.

In de afgelopen weken is APT36 ook gekoppeld aan een andere campagne die gebruik maakt van een kwaadaardig snelkoppelingsbestand, vermomd als een advies-pdf van de overheid (“NCERT-Whatsapp-Advisory.pdf.lnk”) om een ​​op .NET gebaseerde lader te leveren, die vervolgens extra uitvoerbare bestanden en kwaadaardige DLL’s verwijdert om de uitvoering van opdrachten op afstand, systeemverkenning en toegang op lange termijn tot stand te brengen.

De snelkoppeling is ontworpen om een ​​versluierde opdracht uit te voeren met behulp van cmd.exe om een ​​MSI-installatieprogramma (“nikmights.msi”) op te halen van een externe server (“aeroclubofindia.co(.)in”), die verantwoordelijk is voor het initiëren van een reeks acties –

  • Pak een lok-PDF-document uit en toon het aan het slachtoffer
  • Decodeer en schrijf DLL-bestanden naar “C:ProgramDataPcDirvspdf.dll” en “C:ProgramDataPcDirvswininet.dll”
  • Zet “PcDirvs.exe” neer op dezelfde locatie en voer het uit na een vertraging van 10 seconden
  • Breng persistentie tot stand door “PcDirvs.hta” te maken dat Visual Basic Script bevat om registerwijzigingen aan te brengen om “PcDirvs.exe” elke keer na het opstarten van het systeem te starten

Het is de moeite waard om erop te wijzen dat de getoonde lok-pdf een legitiem advies is dat in 2024 is uitgegeven door het National Cyber ​​Emergency Response Team of Pakistan (PKCERT) over een frauduleuze WhatsApp-berichtencampagne gericht op overheidsinstanties in Pakistan met een kwaadaardig WinRAR-bestand dat systemen infecteert met malware.

De DLL “wininet.dll” maakt verbinding met een hardgecodeerde command-and-control (C2)-infrastructuur die wordt gehost op dns.wmiprovider(.)com. Het werd medio april 2025 geregistreerd. De C2 die aan de activiteit is gekoppeld, is momenteel inactief, maar de op het Windows-register gebaseerde persistentie zorgt ervoor dat de dreiging op elk moment in de toekomst weer tot leven kan worden gewekt.

“De DLL implementeert meerdere op HTTP GET gebaseerde eindpunten om communicatie met de C2-server tot stand te brengen, updates uit te voeren en door de aanvaller uitgegeven opdrachten op te halen”, aldus CYFIRMA. “Om statische tekenreeksdetectie te omzeilen, worden de eindpunttekens opzettelijk in omgekeerde volgorde opgeslagen.”

De lijst met eindpunten is als volgt:

  • /retsiger (registreren), om het geïnfecteerde systeem te registreren bij de C2-server
  • /taebtraeh (hartslag), om zijn aanwezigheid aan de C2-server te signaleren
  • /dnammoc_teg (get_command), om willekeurige opdrachten uit te voeren via “cmd.exe”
  • /dnammocmvitna (antivmcommand), om een ​​anti-VM-status op te vragen of in te stellen en waarschijnlijk het gedrag aan te passen

De DLL ondervraagt ​​ook geïnstalleerde antivirusproducten op het systeem van het slachtoffer, waardoor het een krachtig hulpmiddel wordt dat in staat is verkenningen uit te voeren en gevoelige informatie te verzamelen.

Patchwork gekoppeld aan nieuwe StreamSpy-trojan

De onthulling komt weken nadat Patchwork (ook bekend als Dropping Elephant of Maha Grass), een hackgroep waarvan wordt aangenomen dat deze van Indiase afkomst is, in verband werd gebracht met aanvallen gericht op de Pakistaanse defensiesector met een op Python gebaseerde achterdeur die wordt verspreid via phishing-e-mails met ZIP-bestanden, aldus beveiligingsonderzoeker Idan Tarab.

In het archief bevindt zich een MSBuild-project dat, wanneer het wordt uitgevoerd via “msbuild.exe”, een dropper inzet om uiteindelijk de Python RAT te installeren en te starten. De malware is uitgerust om contact te maken met een C2-server en externe Python-modules uit te voeren, opdrachten uit te voeren en bestanden te uploaden/downloaden.

“Deze campagne vertegenwoordigt een gemoderniseerde, zeer versluierde Patchwork APT-toolkit die MSBuild LOLBin-laders, door PyInstaller aangepaste Python-runtimes, verzamelde bytecode-implantaten, geofencing, gerandomiseerde PHP C2-eindpunten en (en) realistische persistentiemechanismen combineert”, aldus Tarab.

Sinds december 2025 wordt Patchwork ook in verband gebracht met een voorheen ongedocumenteerde trojan genaamd StreamSpy, die WebSocket- en HTTP-protocollen gebruikt voor C2-communicatie. Terwijl het WebSocket-kanaal wordt gebruikt om instructies te ontvangen en de uitvoeringsresultaten te verzenden, wordt HTTP gebruikt voor bestandsoverdracht.

De links van StreamSpy naar Patchwork komen volgens QiAnXin voort uit de overeenkomsten met Spyder, een variant van een andere achterdeur genaamd WarHawk die wordt toegeschreven aan SideWinder. Het gebruik van Spider door Patchwork gaat terug tot 2023.

Gedistribueerd via ZIP-archieven (“OPS-VII-SIR.zip”) gehost op “firebasescloudemail(.)com”, kan de malware (“Annexure.exe”) systeeminformatie verzamelen, persistentie tot stand brengen via het Windows-register, geplande taken of via een LNK-bestand in de map Opstarten, communiceren met de C2-server via HTTP en WebSocket. De lijst met ondersteuningsopdrachten vindt u hieronder –

  • F1A5C3, om een ​​bestand te downloaden en te openen met ShellExecuteExW
  • B8C1D2, om de shell voor opdrachtuitvoering in te stellen op cmd
  • E4F5A6, om de shell voor opdrachtuitvoering in te stellen op PowerShell
  • FL_SH1, om alle shells te sluiten
  • C9E3D4, E7F8A9, H1K4R8, C0V3RT, om gecodeerde zip-bestanden van de C2-server te downloaden, uit te pakken en te openen met ShellExecuteExW
  • F2B3C4, om informatie te verzamelen over het bestandssysteem en alle schijven die op het apparaat zijn aangesloten
  • D5E6F7, om het uploaden en downloaden van bestanden uit te voeren
  • A8B9C0, om het uploaden van bestanden uit te voeren
  • D1E2F3, om een ​​bestand te verwijderen
  • A4B5C6, om de naam van een bestand te wijzigen
  • D7E8F9, om een ​​specifieke map op te sommen

QinAnXin zei dat de StreamSpy-downloadsite ook Spyder-varianten host met uitgebreide functies voor gegevensverzameling, waarbij het toevoegen van de digitale handtekening van de malware correlaties vertoont met een andere Windows RAT genaamd ShadowAgent, toegeschreven aan het DoNot Team (ook bekend als Brainworm). Interessant is dat 360 Threat Intelligence Center in november 2025 hetzelfde uitvoerbare bestand “Annexure.exe” markeerde als ShadowAgent.

“De opkomst van de StreamSpy Trojan- en Spyder-varianten van de Maha Grass-groep geeft aan dat de groep voortdurend zijn arsenaal aan aanvalstools herhaalt”, aldus de Chinese beveiligingsleverancier.

“In de StreamSpy-trojan proberen aanvallers WebSocket-kanalen te gebruiken voor het uitgeven van opdrachten en resultaatfeedback om detectie en censuur van HTTP-verkeer te omzeilen. Bovendien bevestigen de gecorreleerde monsters verder dat de Maha Grass- en DoNot-aanvalsgroepen enige connecties hebben op het gebied van het delen van bronnen.”

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

De volledige komende line-up van Motorola verschijnt in één afbeelding

We moeten menselijke inhoud een label geven om AI-slop te bestrijden

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]