Un grupo cibernético con sede en Pakistán conocido como APT36 o Tribu Transparent ha lanzado una campaña de phishing altamente sofisticada dirigida al personal de defensa indio, utilizando malware de robo de credenciales diseñada para establecer una infiltración a largo plazo dentro de las redes militares sensitivas.
La campaña representa una escalada significativa en las amenazas cibernéticas en estado-nación, que emplea técnicas avanzadas de ingeniería social que explotan la confianza inherente a las comunicaciones gubernamentales oficiales.
El vector de ataque se basa en correos electrónicos de phishing meticulosamente elaborados que contienen archivos adjuntos maliciosos en PDF que imitan los documentos del gobierno legítimos.
Cuando los destinatarios abren estos PDF, se encuentran con un fondo deliberadamente borroso diseñado para crear autenticidad, acompañado de un mensaje que indica que el documento está protegido y requiere la interacción del usuario para acceder al contenido.
Analistas de cyfirma identificado que al hacer clic en el botón “Haga clic para ver el documento”, redirige a los usuarios a una URL fraudulenta que imita la interfaz de inicio de sesión del National Informatics Center (NIC), que finalmente inicia la descarga de un archivo zip que contiene malware disfrazado.
El impacto de la campaña se extiende más allá del robo de credenciales inmediato, ya que el malware establece mecanismos de acceso persistentes dentro de los sistemas específicos.
La operación demuestra el objetivo estratégico de APT36 de mantener la presencia a largo plazo dentro de la infraestructura de defensa de la India, destacando las vulnerabilidades críticas en los protocolos actuales de seguridad cibernética.
El dominio malicioso involucrado se registró el 23 de octubre de 2024, con una fecha de vencimiento del 23 de octubre de 2025, lo que sugiere una estrategia de implementación calculada a corto plazo.
Mecanismo de infección técnica y tácticas de evasión
El mecanismo de infección del malware revela capacidades técnicas sofisticadas diseñadas para evadir la detección y el análisis.
El archivo ejecutable, llamado “PO-003443125.pdf.exe”, emplea múltiples técnicas anti-análisis, incluida la función de la API de Windows, ISDebuggerPresent para detectar entornos de depuración.
PDF falso (Fuente – Cyfirma)
Tras la detección de herramientas de análisis como X64DBG, WindBG o OllyDBG, el malware muestra un mensaje crítico que indica “Este es un script compilado de terceros” antes de terminar la ejecución.
Además, el malware utiliza el proceso ISWOW64 para identificar procesos de 32 bits que se ejecutan en sistemas de 64 bits, un indicador común de entornos virtualizados o de análisis.
El mecanismo de carga de recursos del malware emplea FindResourceExw para ubicar un recurso de script integrado, que luego se ejecuta a través de interfaces Com o Activescript, lo que permite la ejecución sin fila que evita los métodos de detección tradicionales.
Este enfoque de múltiples capas demuestra la sofisticación en evolución de APT36 en el desarrollo de malware resistente a la detección específicamente dirigidos a objetivos del sector de defensa de alto valor.
¿Eres de los equipos SOC/DFIR! – Interactuar con malware en el sandbox y encontrar IOC relacionados. – Solicitar prueba gratuita de 14 días
