Il gruppo APT noto come DoNot Team, anche identificato come APT-C-35, Mint Tempest e altri alias, ha espanso le proprie operazioni prendendo di mira un ministero degli affari esteri europeo con una sofisticata campagna malware. Questo gruppo, operativo dal 2016 e sospettato di essere legato all'India, è famoso per l’utilizzo di malware customizzati per Windows, come i backdoor YTY e GEdit, spesso diffusi tramite email di spear-phishing o documenti malevoli.

L’ultima campagna identificata è partita con email di phishing che simulano comunicazioni ufficiali di difesa, utilizzando un indirizzo Gmail e riferimenti credibili come la visita di un Attaché della Difesa italiana a Dhaka, Bangladesh. Le email sono curate nei dettagli, sfruttando la formattazione HTML e la codifica UTF-8 per apparire autentiche. All'interno, viene fornito un link a Google Drive che scarica un archivio RAR contenente un file eseguibile camuffato da documento PDF.

L’apertura di questo falso PDF avvia l’installazione di LoptikMod, un trojan di accesso remoto esclusivo del gruppo DoNot, usato almeno dal 2018. Una volta in esecuzione, LoptikMod ottiene persistenza sul sistema tramite task pianificati e stabilisce una connessione con un server remoto per inviare informazioni sul sistema, ricevere comandi aggiuntivi, scaricare moduli e soprattutto esfiltrare dati sensibili. Il malware adotta tecniche anti-VM e offuscamento ASCII per evitare l’analisi, oltre a garantire che sia attiva una sola istanza per sistema compromesso.

L’infrastruttura di comando e controllo (C2) rilevata nella campagna è attualmente inattiva, segno che i server sono stati dismessi o che gli attaccanti si sono già spostati verso nuove infrastrutture. Di conseguenza, non è possibile sapere quali comandi venissero effettivamente impartiti agli endpoint compromessi o quali dati siano stati trafugati in risposta.

Le operazioni di DoNot APT sono caratterizzate da sorveglianza costante, esfiltrazione dei dati e accesso prolungato agli obiettivi, con una chiara finalità di spionaggio informatico. Sebbene il gruppo si sia storicamente concentrato sul Sud-est asiatico, questo attacco a entità diplomatiche sudasiatiche in Europa evidenzia un’espansione degli interessi verso comunicazioni e intelligence diplomatiche europee. La crescente sofisticazione delle campagne e la capacità di eludere le difese mostrano l’evoluzione delle minacce APT nel panorama globale della cybersecurity.