Un gruppo per poter essere definito #APT, acronimo di Advanced Persistent Threat, deve avere skill e risorse importanti, ora più che mai. Tuttavia, a volte commettono anche errori esilaranti che avvantaggiano enormemente i difendenti, ovvero noi. Uno di questi errori è stato recentemente commesso da un gruppo indiano APT che si è infettato con il proprio malware, offrendo ai ricercatori l'opportunità di raccogliere dettagli sulle operazioni del gruppo.
Il gruppo, chiamato Patchwork APT, è attivo da dicembre 2015 e prende di mira principalmente il Pakistan tramite attacchi di spear-phishing. Durante la sua ultima campagna, da novembre a dicembre 2021, ha utilizzato documenti RTF dannosi, fingendo di essere di funzionari pakistani, per deployare un nuovo ceppo di BADNEWS RAT, noto anche come Ragnatela. Tuttavia, Malwarebytes Labs ha scoperto che l'attore della minaccia si è autoinfettato, consentendo l'acquisizione di sequenze di tasti e schermate dei propri sistemi e macchine virtuali.
I ricercatori hanno monitorato le cyberspie utilizzando VirtualBox e VMware per lo sviluppo web e i test su computer con doppia tastiera: indiana e inglese. Queste osservazioni hanno rivelato che Patchwork ha infettato il Ministero della Difesa pakistano e docenti dei dipartimenti di scienze biologiche e medicina molecolare di varie università. I ricercatori, inoltre, hanno scoperto che la banda utilizza macchine virtuali e VPN per controllare le vittime e inviare aggiornamenti. Tuttavia, il gruppo non è sofisticato come altri gruppi APT della Corea del Nord e della Russia.
A proposito di Ragnatela, questo malware è stato sviluppato e testato per la prima volta nel novembre 2021. Lo stesso mese, gli aggressori hanno testato il movimento laterale in un tipico sistema vittima. Ragnatela può acquisire schermate, rubare un elenco di file, registrare sequenze di tasti e caricare file, rilasciare payload ed eseguire app nei dispositivi delle vittime.
