Campanhas atribuídas ao Transparent Tribe combinam arquivos CPL, download de cargas secundárias e stealers voltados à coleta de documentos em sistemas Windows.
| Componente | ElizaRAT, RAT para Windows usado pelo APT36, também conhecido como Transparent Tribe, com variantes SlackAPI.dll, Circle e baseFilteringEngine.dll. |
| Vetor | Infecções iniciadas por arquivos CPL, incluindo amostras distribuídas por links do Google Storage e, em outro conjunto, nomes de arquivo compatíveis com spear phishing. |
| Impacto | Execução de comandos remotos, download de cargas secundárias e coleta de documentos por payloads como ApoloStealer, extensionhelper_64.dll e ConnectX.dll. |
| Prioridade | Caçar execução de CPL, uso de rundll32.exe com DLLs incomuns, diretórios em %appdata% e tráfego para Slack API, VPS e Google Cloud Storage usados como C2. |
| Artefatos | MD5 2b1101f9078646482eb1ae497d44104, canais Slack C06BM9XTVAS e C06BWCMSF1S, diretórios %appdata%\SlackAPI, %appdata%\CircleCpl e %appdata%\BaseFilteringEngine. |
| IoCs | http://83.171.248[.]67/oneten.php, http://38.54.84[.]83/MiddleWare/GetTask, http://84.247.135[.]235:8080/phenomenon/SpotifyAB.zip e pasta Google 1Gwy3yPyyYJVoOvCMfsmhhCknC-tiuNFv. |
O APT36, também rastreado como Transparent Tribe, mantém campanhas de espionagem contra organizações governamentais, pessoal diplomático e instalações militares indianas, com histórico de operações contra Windows, Linux e Android. Nas campanhas descritas, o grupo usa ElizaRAT, uma ferramenta de acesso remoto para Windows observada publicamente em 2023, que passou por mudanças de execução, evasão e comunicação de comando e controle. A evolução técnica não aparece como uma única alteração isolada: diferentes variantes do malware foram vinculadas a infraestruturas distintas, incluindo Telegram em variantes iniciais, Slack em SlackAPI.dll, VPS no conjunto Circle e Google Cloud Storage na variante baseFilteringEngine.dll.
O padrão operacional combina um carregador inicial em arquivo CPL, registro da vítima no canal de C2, consulta periódica por tarefas e acionamento de payloads secundários. Esses payloads automatizam coleta de informações e documentos, com foco em tipos de arquivo de produtividade, imagens, arquivos compactados e conteúdo em unidades fixas ou removíveis. A telemetria descrita indica que a ameaça não depende apenas do RAT principal: o valor operacional surge da orquestração entre o acesso remoto, o download seletivo de DLLs e stealers que indexam, armazenam metadados, comprimem ou enviam arquivos para servidores controlados pelo operador.
Na variante SlackAPI.dll, compilada no fim de 2023 e executada como CPL, o malware lê o conteúdo de Userinfo.dll para registrar a vítima e passa a consultar comandos a cada 60 segundos. A comunicação fica centralizada na classe Communication, que usa a API do Slack para recuperar mensagens em https://slack[.]com/api/conversations.history?channel=C06BM9XTVAS&count=1&limit=1. A função FormatMsgs interpreta o conteúdo recebido e aciona funções em Controls. Para saída de dados e arquivos, SendMsg() pública em https://slack.com/api/chat.postMessage, SendFile() usa https://slack.com/api/files.upload, e DownloadFile() baixa arquivos a partir de uma URL fornecida usando HttpClient e token de bot.
O payload ApoloStealer foi usado em alvos específicos desse conjunto. Ele cria um arquivo de banco de dados, monta uma tabela com nome do arquivo, caminho, indicador, tipo e data de modificação, e varre áreas como Desktop, Downloads, OneDrive e unidades fixas, exceto C:\. O filtro prioriza extensões como .ppt, .docx, .pdf, .xlsx, .csv, .txt, .zip, .rar, .png, .jpg, .dwg, .heic e .psd, ignorando nomes iniciados por ~ ou !. Depois de armazenar os itens relevantes, envia os dados para http://83.171.248[.]67/oneten.php. O conjunto Circle muda a infraestrutura: um dropper executa BringCircle, extrai um ZIP embutido, cria %appdata%\CircleCpl, deposita PDF e MP4 de isca, cria um LNK com descrição Slack API File e executa o malware via Process.start(). A variante Circle envia applicationid.dll prefixado por x002> para http://38.54.84[.]83/MiddleWare/GetTask e, quando recebe instrução, baixa e extrai arquivos para executar SlackFiles.dll em %appdata%\SlackAPI.
A superfície observada é formada por estáções Windows expostas a arquivos CPL entregues por engenharia social ou por links de armazenamento em nuvem. Arquivos CPL têm risco operacional específico porque podem ser invocados por duplo clique, o que reduz a barreira de execução quando são mascarados com nomes de documentos. Em uma campanha, nomes como Amended Copy.cpl e um arquivo com sufixo .pdf.cpl indicam tentativa de se passar por documento relacionado a alerta ou exercício militar. O vetor inicial exato desse conjunto não está confirmado, mas os nomes de arquivo e o histórico do operador sustentam a hipótese de spear phishing.
Na campanha com Google Cloud, baseFilteringEngine.dll usa certificado X.509 para criar um objeto ServiceAccountCredential e autenticar uma conta de serviço do Google Cloud Storage. O malware lista arquivos na pasta pai 1Gwy3yPyyYJVoOvCMfsmhhCknC-tiuNFv, localiza o arquivo temporário associado à vítima, recupera comandos e registra ações. O comando suportado é Transfer, usado para baixar um payload de VPS e executá-lo com parâmetros. Um exemplo aciona rundll32.exe para chamar a função Mean em SpotifyAB.dll depois de baixar SpotifyAB.zip de http://84.247.135[.]235:8080/phenomenon/SpotifyAB.zip. As cargas citadas incluem extensionhelper_64.dll, entregue como SpotifyAB.dll ou Spotify-news.dll, e ConnectX.dll, com papéis distintos na coleta de arquivos.
- Estáções Windows capazes de executar arquivos
CPLrecebidos por usuários-alvo. - Perfis de usuário com diretórios Desktop, Downloads, OneDrive e unidades fixas contendo documentos e arquivos compactados.
- Ambientes onde
rundll32.exepode carregar DLLs de diretórios sob%appdata%sem bloqueio por política de aplicação. - Máquinas com uso de unidades externas, pois
ConnectX.dllmonitora inserção de discos via WMI.
A primeira linha de caça deve correlacionar criação e execução de arquivos CPL com processos incomuns e gravações em %appdata%. A execução por duplo clique tende a gerar cadeia de processo com carregamento de componente do Painel de Controle, seguida por criação de diretórios como %appdata%\SlackAPI, %appdata%\CircleCpl ou %appdata%\BaseFilteringEngine. A presença de iscas PDF ou MP4 criadas junto do executável não deve ser tratada como prova de documento legítimo; nesse fluxo, elas fazem parte da preparação do ambiente para ocultar a execução do RAT.
Na rede, a telemetria deve separar comunicações legítimas de Slack e Google Cloud de acessos anômalos iniciados por hosts de usuário fora do navegador ou de clientes corporativos esperados. A variante Slack consulta histórico de conversas e pública mensagens ou arquivos usando endpoints da Slack API, com canais C06BM9XTVAS e C06BWCMSF1S. A variante Google Cloud usa acesso a pasta específica e busca comandos que direcionam downloads de VPS. No endpoint, cargas como extensionhelper_64.dll criam banco SQLite, extraem SQLite.Interop.dll de ZIP protegido por senha em texto claro, enumeram arquivos em unidades fixas e atualizam um campo isUploaded após envio. Já ConnectX.dll usa a consulta WMI SELECT * FROM __InstanceCreationEvent WITHIN 2 WHERE TargetInstance ISA 'Win32_DiskDrive' para observar novos discos a cada dois segundos e arquiva arquivos encontrados em unidade externa.
- Execução de
rundll32.execarregandoSpotifyAB.dll,Spotify-news.dll,SlackFiles.dllou DLLs em diretórios de usuário. - Criação de bancos SQLite por processos não corporativos logo após enumeração de documentos e imagens.
- Consultas WMI recorrentes para
Win32_DiskDrivecombinadas com criação de arquivos ZIP em%appdata%\BaseFilteringEngine. - Tráfego para
slack.com/api/conversations.history,slack.com/api/chat.postMessage,slack.com/api/files.uploadou VPS listados nos artefatos. - Arquivos de usuário enumerados por extensão, especialmente documentos Office, PDF, CSV, ZIP, RAR, TAR, JPG, PNG e formatos de apresentação.
A resposta deve começar pela contenção de endpoints que executaram CPL suspeito, criaram os diretórios de trabalho citados ou carregaram DLLs por rundll32.exe a partir de %appdata%. Como o RAT consulta comandos periodicamente, o isolamento reduz a janela para download de novas cargas. Em seguida, é necessário coletar árvore de processos, artefatos em disco, bancos SQLite, arquivos ZIP criados localmente e histórico de conexões para Slack API, VPS e Google Cloud Storage. A análise deve tratar ElizaRAT e os stealers como componentes de uma mesma operação quando houver sobreposição de diretórios, nomes de DLL e parâmetros de execução.
A prevenção deve bloquear execução de CPL originado de diretórios de download, anexos e caminhos graváveis pelo usuário, além de restringir rundll32.exe para DLLs fora de locais administrados. Controles de saída podem exigir inspeção por processo para diferenciar uso corporativo legítimo de Slack e Google Cloud de comunicação automatizada por binários desconhecidos. Em ambientes com usuários de alto risco, políticas de aplicação, allowlisting, bloqueio de anexos com dupla extensão e alertas para criação de tarefas agendadas ou LNKs suspeitos reduzem a efetividade da cadeia. Para máquinas afetadas, a revisão deve incluir documentos tocados pelos stealers, arquivos marcados como enviados nos bancos locais, conteúdo arquivado por ConnectX.dll e qualquer segredo que possa residir em documentos coletados.
- Bloquear ou colocar em aprovação arquivos
CPLrecebidos por e-mail, navegadores e serviços de armazenamento. - Criar regras para
rundll32.execarregando DLLs em%appdata%, Downloads, Desktop ou diretórios criados recentemente. - Caçar e remover
%appdata%\SlackAPI,%appdata%\CircleCple%appdata%\BaseFilteringEngineapós coleta forense. - Revisar logs de proxy, EDR e DNS para os endpoints Slack API, URLs de VPS e pasta Google identificada.
- Validar se arquivos sensíveis foram coletados ou arquivados localmente e ajustar permissões de documentos conforme o escopo do incidente.
0 Comentários