enero 14, 2026
india.jpg

Se ha culpado al actor de amenazas conocido como Transparent Tribe de una nueva serie de ataques contra el gobierno indio, instituciones académicas y estratégicas utilizando un troyano de acceso remoto (RAT) que les otorga un control persistente sobre los hosts comprometidos.

“La campaña utiliza técnicas de entrega engañosas, incluido un archivo de acceso directo de Windows (LNK) que se hace pasar por un documento PDF legítimo y está incrustado en el contenido completo del PDF para evadir las sospechas de los usuarios”, dijo CYFIRMA en un informe técnico.

Transparent Tribe, también conocido como APT36, es un grupo de hackers conocido por realizar campañas de ciberespionaje contra organizaciones indias. Se dice que el opositor patrocinado por el Estado es de origen indio y ha estado activo desde al menos 2013.

El actor de amenazas cuenta con un arsenal de RAT en constante evolución para lograr sus objetivos. Los troyanos que Transparent Tribe ha implementado en los últimos años incluyen CapraRAT, Crimson RAT, ElizaRAT y DeskRAT.

La última serie de ataques comenzó con un correo electrónico de phishing que contenía un archivo ZIP con un archivo LNK disfrazado de PDF. Al abrir el archivo se activa la ejecución de un script de aplicación HTML remota (HTA) utilizando mshta.exe, que descifra la carga útil final de RAT y la carga directamente en la memoria. Al mismo tiempo, la ETS descarga y abre un documento PDF falso para no despertar sospechas en los usuarios.

“Una vez establecida la lógica de decodificación, la HTA utiliza objetos ActiveX, específicamente WScript.Shell, para interactuar con el entorno de Windows”, señaló CYFIRMA. “Este comportamiento demuestra la elaboración de perfiles ambientales y la manipulación del tiempo de ejecución, lo que garantiza la compatibilidad con el sistema de destino y aumenta la confiabilidad de la ejecución, técnicas comúnmente observadas en el malware que abusa de 'mshta.exe'”.

Ciberseguridad

Un aspecto notable del malware es su capacidad para ajustar su método de persistencia en función de las soluciones antivirus instaladas en la computadora infectada.

  • Cuando se detecta Kapsersky, crea un directorio de trabajo en C:\Users\Public\core\, escribe una carga útil HTA ofuscada en el disco y establece persistencia colocando un archivo LNK en la carpeta de inicio de Windows, que a su vez inicia el script HTA con mshta.exe.
  • Cuando se detecta Quick Heal, establece persistencia creando un archivo por lotes y un archivo LNK malicioso en la carpeta de inicio de Windows, escribe la carga útil de HTA en el disco y luego la invoca usando el script por lotes.
  • Si se detecta Avast, AVG o Avira, funciona copiando la carga útil directamente al directorio de inicio y ejecutándola
  • Si no se detecta ninguna solución antivirus, recurre a una combinación de ejecución de archivos por lotes, persistencia basada en el registro e implementación de carga útil antes de que se inicie el script por lotes.

El segundo archivo HTA contiene una DLL llamada “iinneldc.dll” que actúa como una RAT con todas las funciones y admite control remoto, administración de archivos, exfiltración de datos, captura de pantalla, edición del portapapeles y control de procesos.

“APT36 (Transparent Tribe) sigue siendo una amenaza de ciberespionaje altamente persistente y gestionada estratégicamente, con un enfoque sostenido en la recopilación de inteligencia dirigida a entidades gubernamentales indias, instituciones educativas y otros sectores estratégicamente relevantes”, dijo la firma de ciberseguridad.

En las últimas semanas, APT36 también se ha vinculado a otra campaña que utiliza un archivo de acceso directo malicioso disfrazado de PDF de asesoramiento gubernamental (“NCERT-Whatsapp-Advisory.pdf.lnk”) para entregar un cargador basado en .NET que luego descarga ejecutables adicionales y archivos DLL maliciosos para permitir la ejecución remota de comandos, el reconocimiento del sistema y el acceso a largo plazo.

El acceso directo está diseñado para ejecutar un comando ofuscado usando cmd.exe para recuperar un instalador MSI (“nikmights.msi”) de un servidor remoto (“aeroclubofindia.co(.)in”), que es responsable de iniciar una serie de acciones:

  • Extraiga un documento PDF falso y muéstreselo a la víctima
  • Decodifica y escribe archivos DLL en “C:\ProgramData\PcDirvs\pdf.dll” y “C:\ProgramData\PcDirvs\wininet.dll”
  • Coloque PcDirvs.exe en la misma ubicación y ejecútelo después de un retraso de 10 segundos.
  • Establezca persistencia creando PcDirvs.hta, que contiene Visual Basic Script para realizar cambios en el registro para iniciar PcDirvs.exe cada vez que se inicia el sistema.

Vale la pena señalar que el PDF señuelo que se muestra es una alerta legítima de 2024 del Equipo Nacional de Respuesta a Emergencias Cibernéticas de Pakistán (PKCERT) sobre una campaña engañosa de mensajería de WhatsApp dirigida a entidades gubernamentales de Pakistán con un archivo WinRAR malicioso que infecta sistemas con malware.

La DLL wininet.dll se conecta a una infraestructura de comando y control (C2) codificada alojada en dns.wmiprovider(.)com. El registro se produjo a mediados de abril de 2025. El C2 asociado con la actividad está actualmente inactivo, pero la persistencia basada en el Registro de Windows garantiza que la amenaza puede resurgir en cualquier momento en el futuro.

“La DLL implementa múltiples puntos finales basados ​​en HTTP GET para establecer comunicación con el servidor C2, realizar actualizaciones y recuperar comandos emitidos por el atacante”, dijo CYFIRMA. “Para evitar la detección de cadenas estáticas, los caracteres del punto final se almacenan intencionalmente en orden inverso”.

La lista de puntos finales es la siguiente:

  • /retsiger (registro) para registrar el sistema infectado en el servidor C2
  • /taebtraeh (Heartbeat) para anunciar su presencia al servidor C2
  • /dnammoc_teg (get_command) para ejecutar comandos arbitrarios a través de cmd.exe
  • /dnammocmvitna (antivmcommand) para consultar o establecer un estado anti-VM y probablemente ajustar el comportamiento

La DLL también consulta los productos antivirus instalados en el sistema de la víctima, lo que la convierte en una poderosa herramienta que puede realizar reconocimientos y recopilar información confidencial.

Patchwork vinculado al nuevo troyano StreamSpy

La revelación se produce semanas después de que Patchwork (también conocido como Dropping Elephant o Maha Grass), un presunto grupo de hackers indio, fuera vinculado a ataques al sector de defensa de Pakistán a través de una puerta trasera basada en Python distribuida a través de correos electrónicos de phishing que contienen archivos ZIP, según el investigador de seguridad Idan Tarab.

Hay un proyecto MSBuild en el archivo que, cuando se ejecuta a través de msbuild.exe, proporciona un cuentagotas para finalmente instalar e iniciar Python RAT. El malware está equipado para contactar un servidor C2 y ejecutar módulos Python remotos, ejecutar comandos y cargar/descargar archivos.

“Esta campaña representa un conjunto de herramientas APT modernizado y muy ofuscado que reúne cargadores MSBuild LOLBin, tiempos de ejecución de Python modificados por PyInstaller, implantes de código de bytes ordenados, geofencing, puntos finales PHP-C2 aleatorios (y) mecanismos de persistencia realistas”, dijo Tarab.

En diciembre de 2025, Patchwork también se vinculó a un troyano no documentado anteriormente llamado StreamSpy, que utiliza los protocolos WebSocket y HTTP para las comunicaciones C2. Mientras que el canal WebSocket se utiliza para recibir instrucciones y transmitir resultados de ejecución, HTTP se utiliza para transferencias de archivos.

Los vínculos de StreamSpy con Patchwork, según QiAnXin, se basan en su similitud con Spyder, una variante de otra puerta trasera llamada WarHawk que se atribuye a SideWinder. El uso de Spider por parte de Patchwork se remonta a 2023.

Ciberseguridad

El malware (“Annexure.exe”) se distribuye a través de archivos ZIP (“OPS-VII-SIR.zip”) alojados en “firebasescloudemail(.)com” y puede recopilar información del sistema, establecer persistencia a través del registro de Windows, tareas programadas o mediante un archivo LNK en la carpeta de inicio, y comunicarse con el servidor C2 a través de HTTP y WebSocket. La lista de comandos de soporte se encuentra a continuación:

  • F1A5C3 para descargar un archivo y abrirlo con ShellExecuteExW
  • B8C1D2 para configurar el shell en cmd para la ejecución de comandos
  • E4F5A6 para configurar el shell para la ejecución de comandos en PowerShell
  • FL_SH1 para cerrar todos los shells
  • C9E3D4, E7F8A9, H1K4R8, C0V3RT para descargar archivos ZIP cifrados del servidor C2, extraerlos y abrirlos con ShellExecuteExW
  • F2B3C4 para recopilar información sobre el sistema de archivos y todos los discos duros conectados al dispositivo
  • D5E6F7 para realizar la carga y descarga de archivos
  • A8B9C0 para realizar la carga del archivo
  • D1E2F3 para eliminar un archivo
  • A4B5C6 para cambiar el nombre de un archivo
  • D7E8F9 para enumerar una carpeta específica

Según QinAnXin, el sitio de descarga de StreamSpy también alberga variantes de Spyder con ricas capacidades de recopilación de datos. La firma digital del malware muestra correlaciones con otra RAT de Windows llamada ShadowAgent, que se atribuye al equipo DoNot (también conocido como Brainworm). Curiosamente, en noviembre de 2025, 360 ​​Threat Intelligence Center marcó el mismo ejecutable de Anexoure.exe que ShadowAgent.

“La aparición de los troyanos StreamSpy y las variantes de Spyder del grupo Maha Grass muestra que el grupo está expandiendo continuamente su arsenal de herramientas de ataque”, dijo el proveedor de seguridad chino.

“En el troyano StreamSpy, los atacantes intentan utilizar canales WebSocket para emitir comandos y retroalimentación de resultados para evadir la detección y censura del tráfico HTTP. Además, las muestras correlacionadas confirman aún más que los grupos de ataque Maha Grass y DoNot tienen algunas conexiones en términos de intercambio de recursos”.

About The Author

desafiomayor

See author's posts

Related News

payment.png

Una campaña de skimming web de larga duración roba tarjetas de crédito de sitios de pago en línea

enero 14, 2026 0
mexc.jpg

La extensión maliciosa de Chrome roba claves API de MEXC haciéndose pasar por una herramienta comercial

enero 14, 2026 0

You may have missed

nyt-word-games-connections-2798.jpg

Pistas y respuestas de NYT Connections de hoy para el 14 de enero #948

enero 14, 2026 0
wordle-word-game-hints-puzzle-8667.jpg

Pistas, respuestas y ayuda del NYT Wordle de hoy para el 14 de enero #1670

enero 14, 2026 0
Washington-capitol-building-1260x945.jpg

El proyecto de ley del estado de Washington apunta a los listados de bienes raíces privados y requeriría comercialización pública

enero 14, 2026 0
waymo-ces-2026.jpg

El gobernador de Nueva York está allanando el camino para los taxis robot en todas partes, con una notable excepción

enero 14, 2026 0
roblox_1.jpg

Según se informa, el sistema de verificación de edad de Roblox es un desastre

enero 14, 2026 0
Screenshot_2026-01-13_at_13.25.49.png

Instagram quiere que personalices tu algoritmo de Reels para 2026

enero 14, 2026 0