Một đại sứ quán châu Âu tại thủ đô New Delhi của Ấn Độ, cùng nhiều tổ chức ở Sri Lanka, Pakistan và Bangladesh, đã trở thành mục tiêu của một chiến dịch mới do nhóm tác nhân đe dọa mang tên SideWinder thực hiện vào tháng 9 năm 2025.
Hoạt động này "tiết lộ một sự tiến hóa đáng chú ý trong các TTPs của SideWinder, đặc biệt là việc áp dụng một chuỗi lây nhiễm mới dựa trên PDF và ClickOnce, ngoài các vector khai thác Microsoft Word đã được ghi nhận trước đây của chúng," các nhà nghiên cứu Ernesto Fernández Provecho và Phạm Duy Phúc của Trellix cho biết trong một báo cáo được công bố vào tuần trước.
Các cuộc tấn công, bao gồm việc gửi email spear-phishing theo bốn đợt từ tháng 3 đến tháng 9 năm 2025, được thiết kế để thả các họ malware như ModuleInstaller và StealerBot nhằm thu thập thông tin nhạy cảm từ các host bị xâm nhập.
Trong khi ModuleInstaller đóng vai trò là một downloader cho các payload giai đoạn tiếp theo, bao gồm StealerBot, thì StealerBot là một implant .NET có khả năng khởi chạy một reverse shell, phân phối thêm malware và thu thập nhiều loại dữ liệu từ các host bị xâm nhập, bao gồm screenshots, keystrokes, passwords và files.
Cần lưu ý rằng cả ModuleInstaller và StealerBot lần đầu tiên được công khai tài liệu bởi Kaspersky vào tháng 10 năm 2024 như một phần của các cuộc tấn công do nhóm hacker thực hiện nhắm vào các thực thể cao cấp và cơ sở hạ tầng chiến lược ở Trung Đông và Châu Phi.
Gần đây nhất vào tháng 5 năm 2025, Acronis đã tiết lộ các cuộc tấn công của SideWinder nhắm vào các tổ chức chính phủ ở Sri Lanka, Bangladesh và Pakistan bằng cách sử dụng các tài liệu chứa malware dễ bị ảnh hưởng bởi các lỗ hổng đã biết của Microsoft Office để khởi động một chuỗi tấn công đa giai đoạn và cuối cùng phân phối StealerBot.
Loạt tấn công mới nhất, được Trellix quan sát sau ngày 1 tháng 9 năm 2025 và nhắm vào các đại sứ quán Ấn Độ, liên quan đến việc sử dụng các tài liệu Microsoft Word và PDF trong các email phishing với các tiêu đề như "Inter-ministerial meeting Credentials.pdf" hoặc "India-Pakistan Conflict -Strategic and Tactical Analysis of the May 2025.docx." Các thông điệp được gửi từ miền "mod.gov.bd.pk-mail[.]org" nhằm mạo danh Bộ Quốc phòng Pakistan.
"Vector lây nhiễm ban đầu luôn giống nhau: một file PDF không thể hiển thị đúng cách cho nạn nhân hoặc một tài liệu Word chứa một exploit nào đó," Trellix cho biết. "Các file PDF chứa một nút yêu cầu nạn nhân tải xuống và cài đặt phiên bản mới nhất của Adobe Reader để xem nội dung tài liệu."
Tuy nhiên, việc này sẽ kích hoạt việc tải xuống một ứng dụng ClickOnce từ một remote server ("mofa-gov-bd.filenest[.]live"), khi được khởi chạy, sẽ sideload một DLL độc hại ("DEVOBJ.dll"), đồng thời mở một tài liệu PDF mồi nhử cho nạn nhân.
Ứng dụng ClickOnce là một executable hợp pháp từ MagTek Inc. ("ReaderConfiguration.exe") giả mạo Adobe Reader và được ký bằng một chữ ký hợp lệ để tránh gây nghi ngờ. Hơn nữa, các yêu cầu đến máy chủ command-and-control (C2) bị khóa khu vực ở Nam Á và đường dẫn tải xuống payload được tạo động, làm phức tạp các nỗ lực phân tích.
Về phần mình, DLL giả mạo được thiết kế để giải mã và khởi chạy một .NET loader có tên ModuleInstaller, sau đó tiến hành lập hồ sơ hệ thống bị nhiễm và phân phối malware StealerBot.
Những phát hiện này cho thấy một nỗ lực liên tục từ phía các tác nhân đe dọa dai dẳng nhằm tinh chỉnh modus operandi của chúng và vượt qua các biện pháp phòng thủ an ninh để đạt được mục tiêu.
"Các chiến dịch phishing đa đợt cho thấy khả năng thích ứng của nhóm trong việc tạo ra các mồi nhử rất cụ thể cho các mục tiêu ngoại giao khác nhau, cho thấy sự hiểu biết sâu sắc về bối cảnh địa chính trị," Trellix cho biết. "Việc sử dụng nhất quán các custom malware, như ModuleInstaller và StealerBot, cùng với việc khai thác khéo léo các ứng dụng hợp pháp để side-loading, nhấn mạnh cam kết của SideWinder đối với các kỹ thuật evasion tinh vi và các mục tiêu espionage."
