Una sofisticada campaña de phishing atribuida al grupo APT36 vinculado a Pakistán se ha convertido en una seria amenaza para la infraestructura del gobierno indio.
Detectado por primera vez a principios de agosto de 2025, esta operación aprovecha los dominios esciptados diseñados para imitar los portales oficiales de inicio de sesión del gobierno.
Cuando los usuarios desprevenidos ingresan sus ID de correo electrónico y contraseñas, se redirigen a páginas falsificadas que replican la interfaz de autenticación Kavach del Centro Nacional de Informática, completa con logotipos y diseños legítimos.
Al recolectar contraseñas únicas (OTP) en tiempo real, los atacantes evitan la autenticación multifactor y obtienen acceso sin restricciones a cuentas de correo electrónico confidenciales.
Analistas de cyfirma identificado El dominio malicioso primario, registrado el 14 de julio de 2025, que resuelve direcciones IP marcadas para el phishing.
También señalaron que el apoyo a la infraestructura, incluidos dominios adicionales registrados en marzo y mayo de 2025, sigue una convención de nomenclatura uniforme y un patrón de alojamiento, lo que indica una campaña coordinada.
Los dominios se resuelven para IPS tanto en la infraestructura de la nube de Amazon como en los servidores con sede en Pakistán, lo que sugiere servicios de terceros comprometidos o puesta en escena directa de actores de amenazas.
El uso del tráfico HTTPs encriptado para comunicarse con un servidor remoto de comando y control (C2) a 37.221.64 (.) 202 demuestra aún más la sofisticación y la intención de la campaña de evadir los mecanismos básicos de detección de redes.
Página de phishing imitando el portal oficial de inicio de sesión de Kavach (fuente – Cyfirma)
Las víctimas informan que después de ingresar sus credenciales en la página de phishing inicial, se les solicita inmediatamente el Kavach OTP en una segunda página.
Este aviso reproduce fielmente el flujo de trabajo MFA, reduciendo la sospecha y facilitando la recolección de OTP en tiempo real. Una vez capturados, las credenciales y OTP se transmiten a través del puerto 443 a la infraestructura C2 del atacante, lo que permite la adquisición de la cuenta en vivo.
Si no se mitigan, esto podría exponer las comunicaciones clasificadas, socavar la seguridad operativa y conducir a infracciones de seguridad nacional más amplias.
Mecanismo de infección y tácticas de persistencia
La infraestructura de phishing emplea correos electrónicos de phishing de lanza y dominios tipográficos para lograr el acceso inicial.
Los correos electrónicos de phishing de lanza contienen enlaces que redirigen a las víctimas a páginas de destino maliciosas alojadas en dominios como MgovCloud.in y VirtualeOffice.Cloud.
Tras el robo de credenciales exitoso, APT36 utiliza claves de ejecución del registro y tareas programadas para mantener la persistencia en los sistemas comprometidos.
Presencia del contenido web de Zah Computers dentro de esta infraestructura maliciosa (fuente – Cyfirma)
Un script Visual Basic personalizado implementado a través de estas claves de registro establece devoluciones de llamada periódicas para el servidor C2 del atacante, descargando cargas útiles adicionales y exfiltrando archivos locales.
Los investigadores de Cyfirma proporcionaron la siguiente regla de Yara para detectar indicadores de compromiso asociados con esta campaña:-
regla apt36_phishing_indicators {meta: autor = “cyfirma Research” Descripción = “Detects IOCS para la infraestructura de phishing APT36” last_updated = “2025-07-30” Strings: $ ip1 = “99.83.175.80” $ ip2 = “37.221.64.202” $ domain1 = “mGoUncloud. Condición “VirtualeOffice.Cloud”: cualquiera de ($ ip*) o cualquiera de ($ dominio*)}
Esta regla coincide tanto con las direcciones IP marcadas como los dominios falsificados empleados por APT36, lo que permite a los defensores que bloqueen el tráfico malicioso y las alertas sobre el intento de acceso de phishing.
Integre cualquiera. Pruebe 50 búsqueda de prueba gratuita
