Nhóm SideCopy liên quan đến Pakistan tấn công Bộ Tài chính Afghanistan bằng Xeno RAT

Các nhà nghiên cứu bảo mật đã tiết lộ chi tiết về một chiến dịch spear-phishing do nhóm SideCopy thân Pakistan thực hiện, nhắm vào Bộ Tài chính Afghanistan bằng trojan truy cập từ xa Xeno RAT. Chiến dịch sử dụng các tệp LNK độc hại với tên tệp bằng tiếng Pashto để lừa người dùng thực thi mã độc.
Chiến dịch tấn công của SideCopy
Nhóm SideCopy sử dụng Xeno RAT nhắm vào các mục tiêu chính phủ

Các nhà nghiên cứu an ninh mạng đã tiết lộ chi tiết về một chiến dịch spear-phishing có khả năng do nhóm SideCopy có liên kết với Pakistan thực hiện, nhắm mục tiêu vào Bộ Tài chính Afghanistan bằng một trojan truy cập từ xa (RAT) mã nguồn mở mang tên Xeno RAT.

"Chiến dịch bắt đầu bằng việc gửi một tệp ZIP chứa tệp LNK độc hại với tên tệp bằng tiếng Pashto được soạn thảo kỹ lưỡng," nhà nghiên cứu Dixit Panchal từ Seqrite Labs cho biết trong một bản phân tích kỹ thuật.

Các mục tiêu khác trong chiến dịch này bao gồm các cục thu thuế và tài chính cấp tỉnh, các quan chức chính phủ nói tiếng Pashto và nhân viên chính phủ cấp tỉnh. Chiến dịch được đặt mật danh là Operation XENOFISCAL.

Sự tinh vi trong việc lựa chọn mục tiêu

Việc lựa chọn tiếng Pashto cho tệp nhử là một quyết định có tính toán của kẻ tấn công, vì đây là ngôn ngữ chính được sử dụng trong các cơ quan chính phủ Afghanistan. Điều này phản ánh sự hiểu biết sâu sắc của kẻ tấn công đối với môi trường mục tiêu.

SideCopy là tên gọi của một nhóm đe dọa có liên quan đến Pakistan hoạt động dưới sự bảo trợ rộng lớn hơn của Transparent Tribe (còn gọi là APT36), sử dụng nhiều loại malware khác nhau để đánh cắp dữ liệu nhạy cảm từ các máy chủ bị xâm nhập. Vào tháng 4 năm 2025, nhóm này đã được quy kết thực hiện một loạt vụ tấn công nhắm vào nhiều lĩnh vực tại Ấn Độ bằng Xeno RAT, Spark RAT và CurlBack RAT.

Nhìn dưới góc độ đó, chiến dịch mới nhất này là sự tiếp nối của một cụm hoạt động mạng độc hại rộng lớn hơn nhắm vào các thực thể ở Nam Á.

Mô hình tấn công mạng
Quy trình thực thi mã độc trong chiến dịch

Phân tích kỹ thuật Xeno RAT

Sau khi được thực thi, tệp LNK sẽ lợi dụng "mshta.exe" để tải một ứng dụng HTML (HTA) từ một tên miền giáo dục của Afghanistan đã bị chiếm đoạt, dẫn đến việc thực thi JavaScript bị che giấu trong bộ nhớ. Mã độc này cũng thiết lập sự hiện diện lâu dài (persistence) dựa trên Registry bằng cách giả mạo Microsoft Edge, đồng thời cài đặt Xeno RAT phiên bản 1.8.7 và một tài liệu giả mạo làm mồi nhử thông qua một trình nạp (loader) dựa trên DLL.

Xeno RAT được thiết kế để kết nối với máy chủ từ xa qua TCP để xử lý các lệnh từ kẻ điều hành. Mã độc này có khả năng tải và thực thi các mô-đun DLL bên ngoài, truyền dữ liệu, khởi chạy qua scheduled task, thu thập thông tin phần mềm diệt virus, hỗ trợ đường hầm mạng dựa trên proxy SOCKS5, thực hiện các thao tác với tệp, ghi lại thao tác bàn phím, chụp màn hình, giám sát clipboard, webcam/microphone, xóa các phương thức hiện diện lâu dài và tự gỡ bỏ khỏi hệ thống.

Mở rộng mục tiêu sang Ấn Độ

Tiết lộ này xuất hiện đồng thời với các chi tiết về một chiến dịch phishing nhắm mục tiêu sử dụng các tệp .desktop Linux độc hại để tấn công cơ sở hạ tầng quân sự Ấn Độ. Chiến dịch này được đánh giá là do Transparent Tribe thực hiện.

"Chiến dịch dường như nhắm vào các cá nhân liên quan đến hệ sinh thái cơ sở hạ tầng quốc phòng và quân sự của Ấn Độ bằng cách sử dụng kỹ thuật xã hội qua WhatsApp và phân phối mã độc shell," nhà nghiên cứu bảo mật R.D. Tarun cho biết.

"Sau khi thực thi, trình khởi chạy .desktop độc hại sẽ khởi động một chuỗi lây nhiễm dựa trên shell bị che giấu kỹ lưỡng, bao gồm việc tải mã độc, giải mã nội tuyến và triển khai một công cụ Golang dựa trên ELF được theo dõi với tên gọi DeskRAT."