Un sofisticado grupo de amenaza persistente avanzada del sur de Asia (APT) ha llevado a cabo una extensa campaña de espionaje dirigida a personal militar y organizaciones de defensa en Sri Lanka, Bangladesh, Pakistán y Turquía.
Los actores de amenaza han desplegado un marco de ataque de varias etapas que combina operaciones de phishing específicas con un nuevo malware Android para comprometer los dispositivos móviles de individuos ajustados militares.
La campaña demuestra un alto nivel de seguridad operativa y sofisticación técnica, utilizando servicios de nube legítimos y herramientas modificadas de código abierto para evadir la detección.
PDF de nivel superior PHISH y señuelo Mostrado Post Cred Robo (Fuente – StrikEReady)
La cadena de ataque comienza con correos electrónicos de phishing altamente específicos que contienen archivos adjuntos de PDF maliciosos disfrazados de documentos militares oficiales.
Una muestra notable, titulada “Coordinación de la visita del personal del Jefe del Ejército a China.PDF” (MD5: CF9914ECA9F8AE90DDD54875506459D6), ejemplifica las tácticas de ingeniería social del grupo.
Estos documentos redirigen a las víctimas a las páginas de recolección de credenciales alojadas en dominios Netlify comprometidos, incluidos Maild-Mod-Gov-Account-Conf-Files.netlify.App y Coordinación-Cas-Visit.netlify.App, que imitan de cerca los portales de correo electrónico gubernamentales y militares legítimos.
Analistas de Strikready identificado La infraestructura del actor de amenaza a través de la pivotación en elementos de código compartido y patrones de registro de dominio.
Los investigadores descubrieron una red de más de 50 dominios maliciosos que falsifican varias organizaciones militares y gubernamentales del sur de Asia, incluidas la Fuerza Aérea de Bangladesh, la Dirección General de Compra de Defensa (DGDP) y contratistas de defensa turcos como Roketsans y Aselsan.
La capacidad más preocupante del grupo implica la implementación de troyanos de acceso remoto de Android modificados (ratas) basado en el marco de rata Rafel de código abierto.
El malware, distribuido a través de archivos APK como Love_Chat.APK (MD5: 9A7510E780EF40D63CA5AB826B1E9DAB), disfrazada de aplicaciones de chat legítimas al tiempo que establece el acceso persistente de puerta trasera a los dispositivos comprometidos.
El análisis de la aplicación descompilada revela extensas capacidades de exfiltración de datos, con el malware programado para cargar varios tipos de documentos en los servidores de comando y control.
Infraestructura de rata Android
El componente de Android representa una evolución significativa en las capacidades del grupo, lo que demuestra habilidades sofisticadas de desarrollo de malware móvil.
Los actores de amenaza modificaron el código fuente original de Rafel Rat, eliminando los créditos de atribución e implementando comunicaciones personalizadas de comando y control a través de dominios como QuickHelpsolve.com y Kutcat-Rat.com.
Señuelos (Fuente – Strikready)
El malware solicita permisos peligrosos que incluyen add_device_admin, read_external_storage, manage_app_all_files_access_permission y read_contacts, permitiendo un compromiso integral del dispositivo.
La infraestructura C2 utiliza canales de comunicación codificados en Base64, con el punto final de comando principal ubicado en https://quickhelpsolve.com/public/commands.php.
Este mecanismo de control centralizado permite a los operadores emitir comandos arbitrarios para comprometidos dispositivos, recopilar datos robados y mantener un acceso persistente a las redes de víctimas.
Los investigadores de seguridad descubrieron que los actores de amenaza habían comprometido con éxito al personal militar en varios países, con datos robados que incluyen mensajes SMS, listas de contactos que contienen rangos militares y estaciones de servicio y documentos organizativos confidenciales.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
