Các cơ quan chính phủ Ấn Độ đã trở thành mục tiêu trong hai chiến dịch tấn công do một nhóm tin tặc hoạt động tại Pakistan thực hiện, sử dụng các kỹ thuật chưa từng được biết đến trước đây.
Các chiến dịch này được Zscaler ThreatLabz đặt tên mã là Gopher Strike và Sheet Attack, được phát hiện vào tháng 9 năm 2025.
"Mặc dù các chiến dịch này có một số điểm tương đồng với nhóm Advanced Persistent Threat (APT) liên kết với Pakistan, APT36, chúng tôi đánh giá với mức độ tin cậy trung bình rằng hoạt động được xác định trong phân tích này có thể bắt nguồn từ một nhóm con mới hoặc một nhóm khác liên kết với Pakistan đang hoạt động song song," các nhà nghiên cứu Sudeep Singh và Yin Hong Chang cho biết.
Sheet Attack lấy tên từ việc sử dụng các dịch vụ hợp pháp như Google Sheets, Firebase và email cho Command-and-Control (C2). Mặt khác, Gopher Strike được đánh giá là đã lợi dụng các email lừa đảo (phishing) làm điểm khởi đầu để phân phối tài liệu PDF chứa hình ảnh bị làm mờ, bị phủ lên bởi một cửa sổ bật lên (pop-up) dường như vô hại, hướng dẫn người nhận tải xuống bản cập nhật cho Adobe Acrobat Reader DC.
Mục đích chính của hình ảnh là tạo ấn tượng cho người dùng rằng việc cài đặt bản cập nhật là cần thiết để truy cập nội dung tài liệu. Nhấp vào nút "Download and Install" trong hộp thoại cập nhật giả mạo sẽ kích hoạt tải xuống một tệp hình ảnh ISO chỉ khi các yêu cầu đến từ các địa chỉ IP ở Ấn Độ và User-Agent string tương ứng với Windows.
"Các kiểm tra phía máy chủ này ngăn chặn các công cụ phân tích URL tự động tìm nạp tệp ISO, đảm bảo rằng tệp độc hại chỉ được gửi đến các mục tiêu đã định," Zscaler cho biết.
Kẻ tải xuống GOGITTER và Backdoor GITSHELLPAD
Payload độc hại được nhúng trong hình ảnh ISO là một trình tải xuống dựa trên Golang có tên là GOGITTER, chịu trách nhiệm tạo một tệp Visual Basic Script (VBScript) nếu nó chưa tồn tại ở các vị trí sau: "C:\Users\Public\Downloads," "C:\Users\Public\Pictures," và "%APPDATA%." Script này được thiết kế để tìm nạp các lệnh VBScript cứ sau 30 giây từ hai máy chủ C2 được cấu hình sẵn.
GOGITTER cũng thiết lập cơ chế duy trì (persistence) bằng cách sử dụng một tác vụ đã lên lịch được cấu hình để chạy tệp VBScript nói trên cứ sau 50 phút. Ngoài ra, nó còn xác định sự hiện diện của một tệp khác có tên "adobe_update.zip" trong ba thư mục tương tự. Nếu tệp ZIP không có mặt, nó sẽ tải về kho lưu trữ từ một kho lưu trữ GitHub riêng tư ("github[.]com/jaishankai/sockv6"). Tài khoản GitHub này được tạo vào ngày 7 tháng 6 năm 2025.
Sau khi tải xuống thành công, chuỗi tấn công sẽ gửi yêu cầu HTTP GET đến miền "adobe-acrobat[.]in" có khả năng để báo hiệu cho các tác nhân đe dọa rằng điểm cuối đã bị lây nhiễm. GOGITTER sau đó trích xuất và thực thi "edgehost.exe" từ tệp ZIP. Một backdoor nhẹ dựa trên Golang, GITSHELLPAD, tận dụng các kho lưu trữ GitHub riêng tư do tác nhân đe dọa kiểm soát cho C2.
Cụ thể, nó thăm dò máy chủ C2 cứ sau 15 giây bằng một yêu cầu GET để truy cập nội dung của một tệp có tên "command.txt." Nó hỗ trợ sáu lệnh khác nhau:
- cd .., để thay đổi thư mục làm việc sang thư mục cha
- cd, để thay đổi thư mục sang đường dẫn được chỉ định
- run, để chạy một lệnh trong nền mà không thu thập kết quả đầu ra
- upload, để tải một tệp cục bộ được chỉ định bởi đường dẫn lên kho lưu trữ GitHub
- download, để tải một tệp xuống đường dẫn được chỉ định
- default case, để chạy một lệnh bằng cmd /c và thu thập kết quả đầu ra
Kết quả thực thi lệnh được lưu trữ trong một tệp có tên "result.txt" và được tải lên tài khoản GitHub thông qua một yêu cầu HTTP PUT. Tệp "command.txt" sau đó sẽ bị xóa khỏi kho lưu trữ GitHub sau khi lệnh được thực thi thành công.
Loader GOSHELL và Cobalt Strike Beacon
Zscaler cho biết họ cũng đã quan sát thấy tác nhân đe dọa tải xuống các kho lưu trữ RAR bằng lệnh cURL sau khi truy cập vào máy của nạn nhân. Các kho lưu trữ này bao gồm các tiện ích để thu thập thông tin hệ thống và thả GOSHELL, một loader tùy chỉnh dựa trên Golang được sử dụng để phân phối Cobalt Strike Beacon sau nhiều vòng giải mã. Các công cụ này sẽ bị xóa khỏi máy sau khi sử dụng.
"Kích thước của GOSHELL được thổi phồng một cách giả tạo lên khoảng 1 gigabyte bằng cách thêm các byte rác vào overlay của Portable Executable (PE), có khả năng để trốn tránh sự phát hiện của phần mềm antivirus," công ty an ninh mạng cho biết. "GOSHELL chỉ thực thi trên các hostname cụ thể bằng cách so sánh hostname của nạn nhân với một danh sách được mã hóa cứng (hard-coded)."
