Home Ciberguerra Ciberdelincuentes alineados con Pakistán perturban al sector educativo indio

Ciberdelincuentes alineados con Pakistán perturban al sector educativo indio

El actor de amenazas conocido como APT36 o Transparent Tribe ha sido observado apuntando al sector de la educación en la India con documentos maliciosos de Office que distribuyen Crimson RAT.

El grupo ha estado activo desde al menos 2013, pero según un nuevo aviso de SentinelOne, ahora está pasando de atacar objetivos militares y de personal del gobierno indio a interrumpir también instituciones educativas.

Según el informe técnico, los nombres y el contenido de los documentos señuelo, así como los dominios asociados y el uso de Crimson RAT, sugieren que las recientes actividades observadas por SentinelOne forman parte de una campaña de Transparent Tribe de la que ya se había informado anteriormente.

Los documentos que Transparent Tribe distribuye tienen contenido y nombres de temática educativa”, reza el aviso. “Basándonos en el comportamiento conocido de este grupo, sospechamos que los documentos han sido distribuidos a los objetivos como archivos adjuntos a correos electrónicos de phishing.

SentinelOne explicó que el equipo ha observado varias implementaciones de Crimson RAT .NET con marcas de tiempo entre julio y septiembre de 2022.

“Las variantes de Crimson RAT implementan diferentes técnicas de ofuscación de diferentes intensidades, por ejemplo, malformación de nombres de funciones simples y resolución dinámica de cadenas”, escribió Milenkoski.

Crimson RAT puede filtrar información del sistema, realizar capturas de pantalla, iniciar y detener procesos y enumerar archivos y unidades.

“Transparent Tribe es un actor de amenazas muy motivado y persistente que actualiza regularmente su arsenal de malware, su libro de jugadas operativo y sus objetivos”, advirtió SentinelOne.

Por ejemplo, en estas campañas, APT36 adoptó Object Linking & Embedding (OLE) de Microsoft como técnica para montar malware a partir de documentos señuelo. También utilizaron el ofuscador Eazfuscator para proteger las implementaciones de Crimson RAT.