I recenti attacchi informatici che coinvolgono hacker legati al Pakistan hanno attirato l'attenzione a causa dell'uso di strumenti avanzati come il CurlBack RAT e lo Spark RAT. Questi attacchi prendono di mira diversi settori in India, tra cui i ministeri delle ferrovie, del petrolio e del gas, e degli affari esteri. Il gruppo di hacker, noto come SideCopy, è stato osservato per la prima volta nel 2019 e si sospetta che sia un sotto-cluster della più ampia operazione di minacce chiamata Transparent Tribe (APT36). Questo gruppo è noto per mimare le tecniche di attacco di un altro gruppo di hacker, SideWinder, per distribuire i propri payload malevoli.

Una delle tattiche più significative adottate di recente dai SideCopy è stata il passaggio dall'uso di file HTML Application (HTA) a pacchetti Microsoft Installer (MSI) come meccanismo principale per l'introduzione dei malware nel sistema target. Questo cambiamento è stato identificato come parte di una campagna più ampia che ha visto l'uso di RAT (Remote Access Trojan) come Action RAT, ReverseRAT e altri strumenti come Cheex, utilizzato per rubare documenti e immagini, e un copiator USB per estrarre dati da drive collegati.

Il RAT CurlBack è particolarmente preoccupante per la sua capacità di raccogliere informazioni di sistema, scaricare file dall'host, eseguire comandi arbitrari, elevare i privilegi e elencare gli account utente. Queste capacità lo rendono uno strumento potente per gli hacker, che possono sfruttarlo per ottenere un accesso approfondito ai sistemi compromessi. Parallelamente, lo Spark RAT, un trojan di accesso remoto cross-platform, mostra la flessibilità degli attacchi di SideCopy nel colpire sia sistemi Windows che Linux.

Inoltre, gli attacchi sono stati veicolati attraverso campagne di phishing via email che includevano documenti esca, come liste di ferie per il personale ferroviario o linee guida di sicurezza informatica emesse da enti pubblici come Hindustan Petroleum Corporation Limited (HPCL). Questo tipo di attacco dimostra un'evoluzione continua nelle tattiche del gruppo, che include ora anche l'uso di strumenti open-source personalizzati come Xeno RAT e Spark RAT, insieme al nuovo CurlBack RAT.

La capacità del gruppo di adattare le proprie tecniche, come l'uso del caricamento riflessivo, il side-loading delle DLL e la decrittazione AES via PowerShell, indica un chiaro sforzo per mantenere la persistenza nei sistemi target e sfuggire al rilevamento. Inoltre, i domini compromessi e i siti falsi vengono utilizzati per il phishing delle credenziali e l'hosting dei payload, evidenziando la determinazione del gruppo a migliorare le proprie operazioni di cyber-espionage.