Lĩnh vực quốc phòng Ấn Độ và các tổ chức liên kết với chính phủ đã trở thành mục tiêu của nhiều chiến dịch được thiết kế để tấn công môi trường Windows và Linux bằng các mã độc truy cập từ xa (RAT) có khả năng đánh cắp dữ liệu nhạy cảm và duy trì quyền truy cập vào các máy bị nhiễm.
Các chiến dịch này nổi bật với việc sử dụng các dòng mã độc như Geta RAT, Ares RAT và DeskRAT, thường được gán cho các nhóm tấn công mạng liên kết với Pakistan, được theo dõi là SideCopy và APT36 (còn gọi là Transparent Tribe). SideCopy, hoạt động từ ít nhất năm 2019, được đánh giá là một phân nhóm của Transparent Tribe.
"Tổng hợp lại, các chiến dịch này củng cố một câu chuyện quen thuộc nhưng đang phát triển," Aditya K. Sood, phó chủ tịch Kỹ thuật An ninh và Chiến lược AI tại Aryaka, cho biết. "Transparent Tribe và SideCopy không tái tạo lại hoạt động gián điệp – họ đang tinh chỉnh nó."
"Bằng cách mở rộng phạm vi bao phủ đa nền tảng, dựa vào các kỹ thuật tồn tại trong bộ nhớ và thử nghiệm các vector phân phối mới, hệ sinh thái này tiếp tục hoạt động dưới ngưỡng phát hiện trong khi vẫn duy trì trọng tâm chiến lược."
Điểm chung của tất cả các chiến dịch là việc sử dụng email lừa đảo (phishing) chứa các tệp đính kèm độc hại hoặc các liên kết tải xuống nhúng dẫn mục tiêu tiềm năng đến cơ sở hạ tầng do kẻ tấn công kiểm soát. Các cơ chế truy cập ban đầu này đóng vai trò là cầu nối cho các tệp lối tắt Windows (LNK), các tệp nhị phân ELF và các tệp PowerPoint Add-In, khi được mở, sẽ khởi chạy một quy trình nhiều giai đoạn để thả các trojan.
Các dòng mã độc được thiết kế để cung cấp quyền truy cập từ xa liên tục, cho phép trinh sát hệ thống, thu thập dữ liệu, thực thi lệnh và tạo điều kiện cho các hoạt động sau khi xâm nhập lâu dài trên cả môi trường Windows và Linux.
Một trong các chuỗi tấn công như sau: một tệp LNK độc hại gọi "mshta.exe" để thực thi một tệp HTML Application (HTA) được lưu trữ trên các miền hợp pháp bị xâm nhập. Payload HTA chứa JavaScript để giải mã một payload DLL nhúng, sau đó xử lý một khối dữ liệu nhúng để ghi một tệp PDF mồi nhử vào đĩa, kết nối đến máy chủ command-and-control (C2) được mã hóa cứng và hiển thị tệp mồi nhử đã lưu.
Sau khi tài liệu mồi nhử được hiển thị, mã độc sẽ kiểm tra các sản phẩm bảo mật đã cài đặt và điều chỉnh phương pháp duy trì quyền truy cập phù hợp trước khi triển khai Geta RAT trên máy chủ bị xâm nhập. Đáng chú ý là chuỗi tấn công này đã được CYFIRMA và nhà nghiên cứu Seqrite Labs Sathwik Ram Prakki chi tiết vào cuối tháng 12 năm 2025.
Geta RAT hỗ trợ nhiều lệnh khác nhau để thu thập thông tin hệ thống, liệt kê các tiến trình đang chạy, chấm dứt một tiến trình cụ thể, liệt kê các ứng dụng đã cài đặt, thu thập thông tin đăng nhập, truy xuất và thay thế nội dung clipboard bằng dữ liệu do kẻ tấn công cung cấp, chụp ảnh màn hình, thực hiện các thao tác tệp, chạy các lệnh shell tùy ý và thu thập dữ liệu từ các thiết bị USB được kết nối.
Song song với chiến dịch tập trung vào Windows này là một biến thể Linux sử dụng một tệp nhị phân Go làm điểm khởi đầu để thả Ares RAT dựa trên Python thông qua một script shell được tải xuống từ máy chủ bên ngoài. Tương tự Geta RAT, Ares RAT cũng có thể chạy một loạt các lệnh để thu thập dữ liệu nhạy cảm và chạy các script Python hoặc các lệnh do kẻ tấn công đưa ra.
Aryaka cho biết họ cũng quan sát thấy một chiến dịch khác, trong đó mã độc Golang, DeskRAT, được phân phối thông qua một tệp PowerPoint Add-In giả mạo chạy macro nhúng để thiết lập kết nối ra bên ngoài với một máy chủ từ xa nhằm lấy mã độc. Việc APT36 sử dụng DeskRAT đã được ghi nhận bởi Sekoia và QiAnXin XLab vào tháng 10 năm 2025.
"Các chiến dịch này cho thấy một nhóm tấn công có nguồn lực tốt, tập trung vào hoạt động gián điệp, nhắm mục tiêu một cách có chủ đích vào các lĩnh vực quốc phòng, chính phủ và chiến lược của Ấn Độ thông qua các mồi nhử theo chủ đề quốc phòng, các tài liệu chính thức giả mạo và cơ sở hạ tầng đáng tin cậy trong khu vực," công ty cho biết. "Hoạt động này mở rộng ra ngoài quốc phòng đến các tổ chức chính sách, nghiên cứu, cơ sở hạ tầng quan trọng và các tổ chức liên quan đến quốc phòng hoạt động trong cùng một hệ sinh thái đáng tin cậy."
"Việc triển khai Desk RAT, cùng với Geta RAT và Ares RAT, nhấn mạnh một bộ công cụ đang phát triển được tối ưu hóa cho khả năng ẩn mình, duy trì và truy cập lâu dài."
