Nhóm tác nhân đe dọa được biết đến với tên Transparent Tribe đã được xác định là chủ mưu của một loạt cuộc tấn công mới nhắm vào các thực thể chính phủ, học thuật và chiến lược của Ấn Độ bằng một trojan truy cập từ xa (RAT) cấp quyền kiểm soát liên tục đối với các máy chủ bị xâm nhập.
CYFIRMA cho biết trong một báo cáo kỹ thuật: "Chiến dịch sử dụng các kỹ thuật phân phối lừa đảo, bao gồm một tệp tin lối tắt (LNK) của Windows được vũ khí hóa giả dạng tài liệu PDF hợp pháp và được nhúng toàn bộ nội dung PDF để tránh sự nghi ngờ của người dùng."
Transparent Tribe, còn được gọi là APT36, là một nhóm tin tặc nổi tiếng với việc thực hiện các chiến dịch gián điệp mạng chống lại các tổ chức Ấn Độ. Được đánh giá là có nguồn gốc từ Ấn Độ, đối thủ được nhà nước bảo trợ này đã hoạt động từ ít nhất năm 2013.
Tác nhân đe dọa này tự hào có một kho vũ khí RAT không ngừng phát triển để đạt được mục tiêu của mình. Một số trojan được Transparent Tribe sử dụng trong những năm gần đây bao gồm CapraRAT, Crimson RAT, ElizaRAT và DeskRAT.
Loạt tấn công mới nhất bắt đầu bằng một email spear-phishing chứa tệp nén ZIP với một tệp LNK được ngụy trang thành PDF. Mở tệp sẽ kích hoạt thực thi một script HTML Application (HTA) từ xa sử dụng "mshta.exe" để giải mã và tải payload RAT cuối cùng trực tiếp vào bộ nhớ. Đồng thời, HTA tải xuống và mở một tài liệu PDF mồi để không gây nghi ngờ cho người dùng.
CYFIRMA lưu ý: "Sau khi logic giải mã được thiết lập, HTA tận dụng các đối tượng ActiveX, đặc biệt là WScript.Shell, để tương tác với môi trường Windows. Hành vi này thể hiện khả năng lập hồ sơ môi trường và thao tác thời gian chạy, đảm bảo khả năng tương thích với hệ thống mục tiêu và tăng độ tin cậy thực thi, đây là những kỹ thuật thường thấy trong phần mềm độc hại lạm dụng 'mshta.exe'."
Một khía cạnh đáng chú ý của phần mềm độc hại là khả năng điều chỉnh phương pháp duy trì quyền truy cập (persistence) dựa trên các giải pháp chống virus được cài đặt trên máy bị nhiễm –
- Nếu Kapsersky được phát hiện, nó sẽ tạo một thư mục làm việc dưới "C:\Users\Public\core\," ghi payload HTA đã bị xáo trộn vào đĩa và thiết lập persistence bằng cách thả một tệp LNK vào thư mục Windows Startup, sau đó khởi chạy script HTA bằng "mshta.exe"
- Nếu Quick Heal được phát hiện, nó sẽ thiết lập persistence bằng cách tạo một tệp batch và một tệp LNK độc hại trong thư mục Windows Startup, ghi payload HTA vào đĩa, sau đó gọi nó bằng script batch
- Nếu Avast, AVG hoặc Avira được phát hiện, nó sẽ hoạt động bằng cách trực tiếp sao chép payload vào thư mục Startup và thực thi
- Nếu không phát hiện giải pháp chống virus nào được nhận dạng, nó sẽ quay lại sự kết hợp của việc thực thi tệp batch, persistence dựa trên Registry và triển khai payload trước khi khởi chạy script batch
Tệp HTA thứ hai bao gồm một DLL có tên "iinneldc.dll" hoạt động như một RAT đầy đủ tính năng, hỗ trợ kiểm soát hệ thống từ xa, quản lý tệp, trích xuất dữ liệu, chụp ảnh màn hình, thao tác clipboard và kiểm soát tiến trình.
Công ty an ninh mạng cho biết: "APT36 (Transparent Tribe) vẫn là một mối đe dọa gián điệp mạng rất dai dẳng và có định hướng chiến lược, với trọng tâm duy trì vào việc thu thập thông tin tình báo nhắm vào các thực thể chính phủ Ấn Độ, các tổ chức giáo dục và các lĩnh vực liên quan đến chiến lược khác."
Trong những tuần gần đây, APT36 cũng đã được liên kết với một chiến dịch khác sử dụng tệp lối tắt độc hại được ngụy trang thành tài liệu PDF tư vấn của chính phủ ("NCERT-Whatsapp-Advisory.pdf.lnk") để phân phối một loader dựa trên .NET, sau đó thả các tệp thực thi bổ sung và các DLL độc hại để thiết lập thực thi lệnh từ xa, trinh sát hệ thống và truy cập lâu dài.
Tệp lối tắt được thiết kế để thực thi một lệnh đã bị xáo trộn sử dụng cmd.exe để truy xuất một trình cài đặt MSI ("nikmights.msi") từ một máy chủ từ xa ("aeroclubofindia.co[.]in"), chịu trách nhiệm khởi xướng một loạt các hành động –
- Trích xuất và hiển thị tài liệu PDF mồi cho nạn nhân
- Giải mã và ghi các tệp DLL vào "C:\ProgramData\PcDirvs\pdf.dll" và "C:\ProgramData\PcDirvs\wininet.dll"
- Thả "PcDirvs.exe" vào cùng vị trí và thực thi nó sau độ trễ 10 giây
- Thiết lập persistence bằng cách tạo "PcDirvs.hta" chứa Visual Basic Script để thực hiện các sửa đổi Registry nhằm khởi chạy "PcDirvs.exe" mỗi khi hệ thống khởi động
Điều đáng chú ý là tài liệu PDF mồi được hiển thị là một tài liệu tư vấn hợp pháp do Đội ứng phó khẩn cấp máy tính quốc gia Pakistan (PKCERT) ban hành vào năm 2024 về một chiến dịch tin nhắn WhatsApp lừa đảo nhắm vào các thực thể chính phủ ở Pakistan bằng một tệp WinRAR độc hại lây nhiễm phần mềm độc hại vào hệ thống.
DLL "wininet.dll" kết nối với cơ sở hạ tầng command-and-control (C2) được mã hóa cứng đặt tại dns.wmiprovider[.]com. Nó được đăng ký vào giữa tháng 4 năm 2025. C2 liên quan đến hoạt động hiện không hoạt động, nhưng persistence dựa trên Windows Registry đảm bảo rằng mối đe dọa có thể được hồi sinh bất cứ lúc nào trong tương lai.
CYFIRMA cho biết: "DLL triển khai nhiều endpoint dựa trên HTTP GET để thiết lập liên lạc với máy chủ C2, thực hiện cập nhật và truy xuất các lệnh do kẻ tấn công ban hành. Để tránh phát hiện chuỗi tĩnh, các ký tự endpoint được cố ý lưu trữ theo thứ tự ngược."
Danh sách các endpoint như sau –
- /retsiger (register), để đăng ký hệ thống bị nhiễm với máy chủ C2
- /taebtraeh (heartbeat), để báo hiệu sự hiện diện của nó cho máy chủ C2
- /dnammoc_teg (get_command), để chạy các lệnh tùy ý qua "cmd.exe"
- /dnammocmvitna (antivmcommand), để truy vấn hoặc đặt trạng thái anti-VM và có khả năng điều chỉnh hành vi
DLL cũng truy vấn các sản phẩm chống virus được cài đặt trên hệ thống nạn nhân, biến nó thành một công cụ mạnh mẽ có khả năng thực hiện trinh sát và thu thập thông tin nhạy cảm.
Patchwork được liên kết với trojan StreamSpy mới
Tiết lộ này được đưa ra vài tuần sau khi Patchwork (còn gọi là Dropping Elephant hoặc Maha Grass), một nhóm tin tặc được cho là có nguồn gốc từ Ấn Độ, đã được liên kết với các cuộc tấn công nhắm vào ngành quốc phòng Pakistan bằng một backdoor dựa trên Python được phân phối qua email phishing chứa các tệp ZIP, theo nhà nghiên cứu bảo mật Idan Tarab.
Có mặt trong kho lưu trữ là một dự án MSBuild mà khi được thực thi qua "msbuild.exe," sẽ triển khai một dropper để cuối cùng cài đặt và khởi chạy Python RAT. Phần mềm độc hại được trang bị để liên hệ với máy chủ C2 và chạy các module Python từ xa, thực thi lệnh, cũng như tải lên/tải xuống tệp.
Tarab cho biết: "Chiến dịch này đại diện cho một bộ công cụ APT Patchwork hiện đại hóa, bị xáo trộn cao, kết hợp các loader MSBuild LOLBin, các runtime Python đã được sửa đổi bởi PyInstaller, các implant mã bytecode được marshalled, geofencing, các endpoint C2 PHP ngẫu nhiên và các cơ chế duy trì quyền truy cập thực tế."
Tính đến tháng 12 năm 2025, Patchwork cũng đã được liên kết với một trojan chưa được ghi nhận trước đây có tên là StreamSpy, sử dụng giao thức WebSocket và HTTP để giao tiếp C2. Trong khi kênh WebSocket được sử dụng để nhận hướng dẫn và truyền kết quả thực thi, HTTP được tận dụng để truyền tệp.
Các liên kết của StreamSpy với Patchwork, theo QiAnXin, xuất phát từ những điểm tương đồng của nó với Spyder, một biến thể của một backdoor khác có tên WarHawk được cho là của SideWinder. Việc Patchwork sử dụng Spider đã có từ năm 2023.
Được phân phối qua các kho lưu trữ ZIP ("OPS-VII-SIR.zip") được lưu trữ trên "firebasescloudemail[.]com," phần mềm độc hại ("Annexure.exe") có thể thu thập thông tin hệ thống, thiết lập persistence qua Windows Registry, scheduled task hoặc qua tệp LNK trong thư mục Startup, giao tiếp với máy chủ C2 bằng HTTP và WebSocket. Danh sách các lệnh được hỗ trợ dưới đây –
- F1A5C3, để tải xuống một tệp và mở nó bằng ShellExecuteExW
- B8C1D2, để đặt shell thực thi lệnh thành cmd
- E4F5A6, để đặt shell thực thi lệnh thành PowerShell
- FL_SH1, để đóng tất cả các shell
- C9E3D4, E7F8A9, H1K4R8, C0V3RT, để tải xuống các tệp zip được mã hóa từ máy chủ C2, giải nén chúng và mở chúng bằng ShellExecuteExW
- F2B3C4, để thu thập thông tin về hệ thống tệp và tất cả các đĩa được kết nối với thiết bị
- D5E6F7, để thực hiện tải lên và tải xuống tệp
- A8B9C0, để thực hiện tải lên tệp
- D1E2F3, để xóa một tệp
- A4B5C6, để đổi tên một tệp
- D7E8F9, để liệt kê một thư mục cụ thể
QinAnXin cho biết trang tải xuống StreamSpy cũng lưu trữ các biến thể Spyder với các tính năng thu thập dữ liệu mở rộng, đồng thời chữ ký số của phần mềm độc hại cho thấy mối tương quan với một Windows RAT khác có tên ShadowAgent được cho là của DoNot Team (còn gọi là Brainworm). Điều thú vị là 360 Threat Intelligence Center đã gắn cờ cùng tệp thực thi "Annexure.exe" là ShadowAgent vào tháng 11 năm 2025.
Nhà cung cấp bảo mật Trung Quốc cho biết: "Sự xuất hiện của trojan StreamSpy và các biến thể Spyder từ nhóm Maha Grass cho thấy nhóm này đang liên tục cải tiến kho vũ khí tấn công của mình."
Trong trojan StreamSpy, những kẻ tấn công cố gắng sử dụng các kênh WebSocket để ra lệnh và phản hồi kết quả nhằm tránh bị phát hiện và kiểm duyệt lưu lượng HTTP. Ngoài ra, các mẫu tương quan còn xác nhận thêm rằng các nhóm tấn công Maha Grass và DoNot attack groups có một số mối liên hệ về việc chia sẻ tài nguyên."
