Campanha atribuída ao APT36 combina arquivos LNK disfarçados de PDF, execução via comando operacional omitido, carregamento em memória e persistência adaptada ao antivírus instalado no host.
| Componente | Cadeia de malware do Transparent Tribe/APT36 com arquivos LNK, scripts HTA, DLLs maliciosas e RAT final carregado em memória. |
| Vetor | E-mails de spear phishing entregam arquivos ZIP contendo atalhos Windows disfarçados de documentos PDF, incluindo iscas ligadas a avisos governamentais. |
| Impacto | O RAT permite controle remoto, gerenciamento de arquivos, captura de tela, manipulação da área de transferência, controle de processos, reconhecimento e possível exfiltração de dados. |
| Prioridade | Bloquear e investigar execução anômala de arquivos LNK, HTA, comando operacional omitido, persistência em Startup e modificações de Registro associadas a binários em diretórios públicos ou ProgramData. |
| Artefatos | Foram citados iinneldc.dll, wininet.dll, PcDirvs.exe, PcDirvs.hta, pdf.dll, nikmights.msi e NCERT-Whatsapp-Advisory.pdf.lnk. |
| IoCs | Infraestrutura mencionada inclui aeroclubofindia[.]co[.]in, dns.wmiprovider[.]com e firebasescloudemail[.]com, todos tratados como indicadores defangados. |
Uma nova atividade atribuída ao Transparent Tribe, também conhecido como APT36, mira entidades governamentais, acadêmicas e estratégicas da Índia com uma cadeia de acesso remoto construída para parecer um documento legítimo. O ponto inicial descrito é um e-mail de spear phishing com um arquivo ZIP. Dentro dele há um atalho Windows LNK camuflado como PDF, estratégia que explora a confiança do usuário no nome e na aparência do arquivo, enquanto aciona execução de código por componentes nativos do Windows.
A cadeia usa um script HTA remoto chamado por comando operacional omitido para descriptografar e carregar o RAT final diretamente na memória. Em paralelo, um PDF de isca é baixado e aberto para reduzir suspeita visual durante a execução. Esse fluxo é relevante para defesa porque desloca a evidência principal para eventos de processo, objetos ActiveX, tráfego de recuperação de estágio e artefatos transitórios, em vez de depender apenas de um executável inicial evidente no disco.
O arsenal associado ao ator já inclui famílias como CapraRAT, Crimson RAT, ElizaRAT e DeskRAT. A atividade mais recente reforça um padrão de atualização contínua: uso de atalhos maliciosos, loaders em HTA, DLLs com funções de RAT, persistência por Registro ou pasta Startup e ajustes conforme o produto antivírus detectado no host. O objetivo técnico é manter acesso prolongado e capacidade de coleta em ambientes de interesse estratégico.
O fluxo começa quando o usuário abre o arquivo LNK dentro do ZIP. O atalho, apresentado como documento PDF, aciona comando operacional omitido para executar um HTA remoto. Depois que a lógica de decodificação é preparada, o HTA usa objetos ActiveX, incluindo WScript.Shell, para interagir com o ambiente Windows. Essa etapa permite manipulação em tempo de execução, avaliação do ambiente e execução mais confiável em máquinas que tenham configurações distintas de segurança, permissões e produtos de proteção.
O payload final aparece como uma DLL chamada iinneldc.dll, descrita como um RAT completo. Suas capacidades incluem controle remoto do sistema, gerenciamento de arquivos, coleta e envio de dados, captura de tela, manipulação da área de transferência e controle de processos. Esse conjunto de funções dá ao operador visibilidade operacional sobre o host comprometido e permite ações pós-comprometimento sem que seja necessário implantar imediatamente ferramentas adicionais mais ruidosas.
Um segundo conjunto de atividade associado ao APT36 usa um atalho chamado NCERT-Whatsapp-Advisory.pdf.lnk, disfarçado como aviso governamental. Esse atalho executa uma sequência obfuscada por comando operacional omitido para buscar um instalador MSI chamado nikmights.msi em aeroclubofindia[.]co[.]in. O instalador inicia ações que decodificam e gravam DLLs em C:\ProgramData\PcDirvs\, incluindo pdf.dll e wininet.dll, além de soltar PcDirvs.exe no mesmo caminho e executá-lo após atraso curto.
A DLL wininet.dll se comunica com infraestrutura C2 hardcoded em dns.wmiprovider[.]com, registrada em meados de abril de 2025 e descrita como inativa no momento da análise. A inatividade do C2 não elimina risco residual, porque a persistência baseada no Registro pode reativar o acesso se a infraestrutura voltar a responder. A DLL usa requisições HTTP GET para registrar o sistema, buscar atualizações e receber comandos, com caracteres de endpoints armazenados em ordem reversa para dificultar detecção estática por strings.
A superfície mais exposta envolve estáções Windows de usuários que recebem anexos por e-mail e podem abrir arquivos compactados contendo atalhos. Ambientes governamentais, acadêmicos e organizações estratégicas indianas são os alvos descritos, mas os controles defensivos relevantes se aplicam a qualquer rede que permita execução de LNK, HTA e componentes de script nativos sem inspeção adequada. O risco aumenta quando extensões de arquivo ficam ocultas, quando anexos ZIP não são detidos em sandbox e quando logs de criação de processo não são centralizados.
A persistência varia conforme o antivírus detectado. Quando Kaspersky é identificado, a cadeia cria diretório de trabalho em C:\Users\Public\core\, grava um HTA obfuscado e usa um LNK na pasta Startup para chamar o script por comando operacional omitido. Quando Quick Heal é identificado, cria arquivo em lote e LNK malicioso na Startup para chamar o HTA. Com Avast, AVG ou Avira, copia o payload diretamente para Startup e o executa. Sem antivírus reconhecido, combina execução por arquivo em lote, persistência no Registro e implantação de payload antes de acionar o script.
O contexto regional inclui também atividade de Patchwork, com backdoors Python distribuídos por phishing com ZIP, projetos MSBuild usados como carregadores e capacidade de executar módulos remotos, comandos e transferências de arquivos. Outra ferramenta citada, StreamSpy, usa WebSocket e HTTP para C2: WebSocket para instruções e retorno de resultados, HTTP para transferências. Esses elementos não alteram a atribuição principal da campanha do Transparent Tribe, mas mostram sobreposição regional de técnicas baseadas em phishing, LOLBins, persistência local e canais C2 múltiplos.
- Hosts Windows que permitem execução de LNK e HTA recebidos por e-mail ou extraídos de ZIP.
- Contas de usuários com permissão suficiente para gravar em Startup, ProgramData, diretórios públicos e chaves de inicialização no Registro.
- Ambientes sem visibilidade de comando operacional omitido, comando operacional omitido, criação de LNK, execução de MSI e gravação de DLLs em caminhos incomuns.
- Estáções com produtos antivírus usados pela cadeia como sinal para escolher o método de persistência.
A investigação deve começar por eventos de criação de processo envolvendo comando operacional omitido acionado por um LNK, especialmente quando o processo pai está ligado a exploradores de arquivo, clientes de e-mail, diretórios temporários ou arquivos extraídos de ZIP. Também é relevante procurar comando operacional omitido iniciando recuperação de MSI a partir de domínio externo, sem publicar a linha operacional completa. A presença de PDF de isca aberto no mesmo intervalo de tempo pode ser tratada como correlação de encobrimento, não como evidência benigna.
No endpoint, os sinais mais fortes incluem escrita de HTA, DLL e executável em C:\ProgramData\PcDirvs\, criação de PcDirvs.hta, PcDirvs.exe, pdf.dll e wininet.dll, além de LNKs persistentes em Startup. A criação de diretório C:\Users\Public\core\ com HTA obfuscado também é indicador de interesse quando aparece perto de execução de comando operacional omitido. Consultas a produtos antivírus instalados, alterações de Registro para inicialização e execução após atraso curto completam a cadeia de evidências.
Na rede, a defesa deve tratar conexões HTTP incomuns para domínios defangados citados como indicadores de triagem, especialmente dns.wmiprovider[.]com e aeroclubofindia[.]co[.]in. Como o C2 principal foi descrito como inativo, ausência de resposta não deve encerrar a análise: tentativas de conexão, resolução DNS, erros repetidos e padrões de GET com caminhos ofuscados continuam úteis para reconstrução temporal. Para StreamSpy e atividades regionais relacionadas, WebSocket inesperado em hosts de usuário e HTTP usado para transferência de arquivos merecem revisão.
- comando operacional omitido executado a partir de atalhos LNK extraídos de ZIP ou associados a documentos PDF de isca.
- Gravação de
iinneldc.dll,wininet.dll,pdf.dll,PcDirvs.exeouPcDirvs.htaem caminhos públicos, ProgramData ou Startup. - Criação de persistência por Registro, LNK na pasta Startup, tarefa agendada ou arquivo em lote usado como ponte para HTA.
- Resolução ou conexão para
dns.wmiprovider[.]com,aeroclubofindia[.]co[.]inoufirebasescloudemail[.]comem estáções de usuário. - Processos consultando produtos antivírus instalados antes de gravar payloads ou escolher mecanismo de inicialização.
A resposta deve priorizar contenção de endpoints que executaram LNK, HTA ou MSI suspeitos, com isolamento de rede quando houver evidência de DLL RAT, comunicação C2 ou persistência ativa. Em seguida, a equipe deve coletar eventos de processo, artefatos de Registro, conteúdo de Startup, histórico de DNS, conexões HTTP e arquivos nos diretórios citados. A remoção manual de arquivos sem preservar evidências pode prejudicar a linha do tempo; por isso, a coleta forense deve anteceder limpeza em sistemas críticos.
No controle preventivo, a organização deve restringir execução de HTA e reduzir uso legítimo de comando operacional omitido onde possível. Regras de aplicação, bloqueio de anexos com LNK dentro de ZIP, inspeção de atalhos que apontam para interpretadores nativos e sandbox de anexos ajudam a cortar o vetor inicial. A visibilidade deve cobrir arquivos compactados recebidos por e-mail, criação de atalhos, execução de MSBuild quando não esperada e gravação de DLLs em diretórios que normalmente não armazenam componentes de aplicação.
Para erradicação, revise chaves de inicialização no Registro, pasta Startup de usuário e máquina, tarefas agendadas e arquivos em C:\ProgramData\PcDirvs\ e C:\Users\Public\core\. Contas expostas em hosts comprometidos devem passar por redefinição de credenciais e revisão de sessões, porque o RAT tem funções de coleta, controle remoto e manipulação de dados locais. Depois da limpeza, valide que não há novas tentativas de resolução para C2, novos LNKs persistentes ou regravação de HTA por processo intermediário.
- Isolar hosts com execução de LNK, HTA ou MSI suspeitos antes de remover artefatos.
- Bloquear ou restringir comando operacional omitido e execução de HTA quando não houver dependência corporativa legítima.
- Filtrar anexos ZIP contendo LNK e aplicar sandbox a documentos de isca com execução de processo associada.
- Remover persistência em Registro, Startup, tarefas agendadas e arquivos de lote usados para chamar HTA.
- Revisar credenciais e sessões de usuários afetados por hosts onde o RAT teve controle remoto ou coleta de dados.
0 Comentários