Il gruppo di cybercriminali noto come APT36, connesso al Pakistan e attivo dal 2013, è stato recentemente individuato mentre prendeva di mira enti governativi indiani tramite campagne di spear-phishing. L’obiettivo principale di queste operazioni è la diffusione di DeskRAT, un malware sviluppato in linguaggio Golang, particolarmente progettato per compromettere sistemi Linux, in particolare quelli basati su BOSS (Bharat Operating System Solutions).
Catena d’attacco e modalità operative
La catena d’attacco di APT36 inizia con e-mail di phishing che includono allegati ZIP o link verso archivi ospitati su servizi cloud legittimi come Google Drive. All’interno dell’archivio si trova un file Desktop dannoso che, oltre a mostrare un PDF esca tramite Mozilla Firefox, avvia in parallelo l’esecuzione del payload malevolo. I file pericolosi vengono scaricati da server esterni controllati dagli attaccanti, tra cui modgovindia[.]com.
DeskRAT si distingue per la capacità di instaurare una persistenza avanzata nel sistema target, sfruttando diversi meccanismi come la creazione di un servizio systemd, l’aggiunta di cron job, l’inserimento nella directory di autostart di Linux e la modifica del file .bashrc per avviare lo script malevolo ad ogni login. Questo trojan comunica con il server di comando e controllo (C2) tramite WebSockets e può ricevere vari comandi, tra cui ping, heartbeat, navigazione dei file, raccolta ed esfiltrazione di dati, oltre a scaricare ed eseguire ulteriori payload Python o shell.
Varianti e tecniche su Windows e Linux
Parallelamente, sono state individuate varianti di DeskRAT e StealthServer anche per Windows, con tecniche anti-analisi e anti-debug raffinate, e modalità di persistenza basate su attività pianificate, script PowerShell e modifiche al registro di sistema. Alcune versioni Linux di StealthServer utilizzano invece comunicazioni C2 via HTTP e presentano funzionalità di enumerazione, upload ed esecuzione file in modo ricorsivo.
Panorama delle minacce nella regione asiatica
Il panorama minaccioso nel Sud e nell’Est asiatico mostra una crescente aggressività di gruppi come Bitter APT, SideWinder, OceanLotus e Mysterious Elephant. Questi attori ricorrono a campagne di phishing multi-piattaforma, sfruttamento di vulnerabilità software e strumenti personalizzati come RAT, esfiltratori di dati da WhatsApp e ChromeStealer, dimostrando una tendenza sempre più marcata verso lo sviluppo e la diffusione di malware avanzati, mirati a enti governativi e settori strategici nella regione.
Evoluzione delle strategie di cyber spionaggio
La sofisticazione di APT36 e alleati, unita all’uso di server C2 stealth e tecniche di distribuzione evolute, sottolinea l’importanza di rafforzare le strategie di difesa contro campagne di cyber spionaggio sempre più mirate.