La erupción de protestas generalizadas en Nepal a principios de septiembre de 2025 proporcionó un terreno fértil para una campaña sofisticada orquestada por el grupo Sidewinder Apt.
A medida que los manifestantes se movilizaron contra las políticas gubernamentales y las restricciones de las redes sociales, los actores de amenaza explotaron la turbulencia para distribuir aplicaciones maliciosas disfrazadas de servicios de emergencia legítimos.
Las víctimas que buscan actualizaciones o asistencia en vivo fueron atraídas por suplantaciones realistas de las autoridades nepalesas, solo para instalar malware que desvió datos confidenciales de entornos móviles y de Windows.
La operación de Sidewinder se basa en un mecanismo de entrega de doble punta. En dispositivos Android, las víctimas se encuentran con sitios web de phishing que falsifican el inicio de sesión del Servicio de Emergencia Nepalés.
Spoofing el servicio de emergencia para el phishing de cred (Fuente – Strikready)
Una vez que se ingresan las credenciales, el sitio redirige a una descarga APK, típicamente llamada gen_ashok_sigdel_live.apk, que los usuarios instalan bajo la apariencia de acceder a las noticias en vivo.
Jefe interino de Nepal (Fuente – Strikready)
Mientras tanto, los usuarios de Windows descargan EmergencyApp.exe de un portal de línea de ayuda de emergencia clonado (Figura 6). Ambos binarios solicitan permisos extensos (acceso al sistema de archivos, micrófono, cámara) para facilitar la exfiltración de datos.
Analistas de Strikready Labs anotado El uso deliberado del grupo de eventos geopolíticos para maximizar el compromiso, incrustando la carga útil maliciosa dentro del contenido señuelo obtenido de puntos de venta de buena reputación como Al Jazeera.
Contenido de APK Aroy (fuente – Strikready)
Estos señuelos dan credibilidad a la operación y ayudan al malware a evitar la inspección superficial de usuarios no técnicos. Una vez instalado, la puerta trasera móvil inicializa un servicio que filtra el documento y los archivos de imagen para la exfiltración.
La variante de Windows opera de manera similar, lo que generó tareas de fondo que cosechan archivos con extensiones como .docx, .pdf y .xlsx.
Mecanismo de infección y abuso de permiso
Un examen más detallado de la muestra de Android revela una clase FileUploadService de múltiples subprocesos responsable del robo de datos.
Examen de filtros de robo de datos e infra (fuente – Strikready)
Tras la ejecución, el servicio inicializa un servicio de ejecutores con un grupo de hilos de quince trabajadores. Cada trabajador escanea el almacenamiento del dispositivo para archivos que coinciden con el documento predefinido y las extensiones de imágenes:
Public Class FileUploadService extiende el servicio {private static final int thread_count = 15; Lista final privada docexts = arrays.aslist (“. txt”, “.pdf”, “.docx”, “.xlsx”); Lista final privada imgexts = arrays.aslist (“. jpg”, “.png”); Ejecutores privados de eScecutorService; @Override public int OnStartCommand (Intent Intent, int flags, int startid) {ExecutorService = Ejecutors.NewFixedThreadPool (Thread_Count); scanandupload (); return start_sticky; } private void scanandupload () {for (string ext: docexts) {// iniciar tareas para cargar archivos coincidentes Executorservice.subMit (() -> uploadFiles (ext)); } for (String Ext: imgexts) {ExecutorService.subMit (() -> uploadFiles (ext)); }}}
Una vez que se identifican los archivos, las solicitudes de publicación HTTP los agrupan en datos de forma multipart, utilizando un marcador de límite reconocible (—- QWERTY) que aparece en la captura de red.
PCAP que muestra ‘Qwerty’ Sig-Cleable Boundary (fuente-StrikEReady)
Todos los archivos robados se envían a https://playservicess.com/dtta/files.php, un punto final C2 controlado por SideWinder. La persistencia se mantiene a través de las notificaciones de servicio en primer plano de Android y las entradas del registro de Windows AutoStart.
Al aprovechar las interfaces de usuarios que se encuentran legítimas y abusar de los permisos de alto nivel, Sidewinder logra un vector de infección sigiloso capaz de violar los entornos empresariales y personales por igual.
Los equipos de seguridad deben monitorear los dominios del COI conocidos (por ejemplo, playservicess.com), instalaciones de APK sospechosas y tráfico de salida anómalo que contiene cargas útiles multipartes.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
