Campanhas de espionagem usam phishing, atalhos LNK, binários ELF e suplemento malicioso do PowerPoint para implantar Geta RAT, Ares RAT e DeskRAT em Windows e Linux.
| Componente | Campanhas atribuídas a APT36, também conhecido como Transparent Tribe, e ao cluster SideCopy, com uso de Geta RAT, Ares RAT e DeskRAT. |
| Vetor | E-mails de phishing com anexos maliciosos ou links de download levam a atalhos LNK, binários ELF e arquivos PowerPoint Add-In usados como início da cadeia. |
| Impacto | Os RATs oferecem acesso remoto persistente, reconhecimento de sistema, coleta de dados, execução de comandos, operações em arquivos e manutenção de presença em Windows e Linux. |
| Prioridade | Reforçar controles contra phishing, bloquear cadeias baseadas em LNK, HTA, macros e binários ELF não autorizados, e revisar endpoints de setores governamentais, defesa, pesquisa, política e infraestrutura crítica. |
| Artefatos | Foram citados atalhos LNK, comando operacional omitido, HTA, JavaScript embutido, DLL, PDF isca, binário Go, script shell, RAT em Python e suplemento malicioso do PowerPoint. |
| Capacidades | Geta RAT enumera processos, lista aplicativos instalados, coleta credenciais, manipula conteúdo da área de transferência, captura telas, executa operações em arquivos e coleta dados de dispositivos USB conectados. |
Entidades indianas ligadas ao setor de defesa e organizações alinhadas ao governo foram alvo de campanhas de espionagem voltadas ao comprometimento de ambientes Windows e Linux. A atividade envolve famílias de malware de acesso remoto, incluindo Geta RAT, Ares RAT e DeskRAT, com atribuição recorrente a clusters alinhados ao Paquistão rastreados como APT36, Transparent Tribe e SideCopy. O conjunto observado aponta para operação de longo prazo, com foco em persistência, coleta de informação sensível e execução controlada de ações pós-comprometimento.
A característica central das campanhas é a combinação de iscas de phishing com carregadores adaptados ao sistema operacional do alvo. Em Windows, a cadeia inclui atalhos LNK, execução de HTA por comando operacional omitido, conteúdo JavaScript usado para preparar uma DLL e exibição de um PDF isca para reduzir suspeitas do usuário. Em Linux, a operação usa um binário Go como ponto inicial para entregar um RAT em Python por meio de um script baixado de servidor externo. Outra variação usa um arquivo PowerPoint Add-In fraudulento com macro embutida para buscar DeskRAT em infraestrutura remota.
O acesso inicial é baseado em e-mails de phishing que carregam anexos maliciosos ou links para infraestrutura controlada pelo operador. Esses artefatos não atuam isoladamente: eles iniciam uma sequência em estágios, na qual o primeiro arquivo aberto pelo usuário prepara componentes adicionais, aciona conteúdo remoto e tenta manter aparência legítima por meio de documento isca. No fluxo Windows descrito, o atalho LNK invoca comando operacional omitido para executar uma aplicação HTA hospedada em domínios legítimos comprometidos. A HTA contém JavaScript que descriptografa uma DLL embutida; essa DLL processa um bloco de dados interno, grava um PDF isca em disco, estabelece comunicação com um servidor de comando e controle codificado no malware e apresenta o documento salvo ao usuário.
Após a abertura da isca, a cadeia verifica a presença de produtos de segurança instalados e ajusta o mecanismo de persistência antes da implantação do Geta RAT. Essa adaptação é relevante para defesa porque indica que o operador tenta reduzir detecção e manter acesso mesmo quando encontra ambientes protegidos. O Geta RAT fornece um conjunto amplo de ações remotas: coleta informações do sistema, enumera processos em execução, encerra processos específicos, lista aplicativos instalados, coleta credenciais, lê e substitui conteúdo da área de transferência, captura telas, manipula arquivos, executa comandos de shell e busca dados em dispositivos USB conectados.
A variação Linux segue outra lógica de preparação. Um binário escrito em Go funciona como primeiro estágio e entrega Ares RAT, descrito como um malware em Python baixado por um script shell de servidor externo. O Ares RAT também permite execução de comandos e scripts Python orientados pelo operador, além de coleta de dados sensíveis. Em paralelo, a campanha com DeskRAT usa um suplemento malicioso do PowerPoint: a macro embutida estabelece comunicação de saída com servidor remoto e busca o malware Golang, mantendo o padrão de entrega modular e dependente de infraestrutura externa.
A superfície exposta abrange endpoints Windows e Linux usados por organizações indianas de defesa, governo, pesquisa, política, infraestrutura crítica e entidades adjacentes ao ecossistema de defesa. A presença de cadeias distintas para Windows e Linux amplia o alcance operacional, porque o mesmo conjunto de operadores consegue atingir estáções administrativas, ambientes técnicos, sistemas de pesquisa e máquinas usadas por equipes que circulam documentos institucionais. O uso de temas ligados à defesa, documentos oficiais falsificados e infraestrutura regionalmente confiável reforça a importância de avaliar a campanha como ameaça direcionada, não como malware oportunista genérico.
Em Windows, os pontos de maior risco são usuários que abrem anexos LNK, documentos associados a iscas institucionais e suplementos do PowerPoint que executam macro. Em Linux, o risco se concentra em execução de binários ELF recebidos por phishing ou baixados a partir de links enviados ao alvo. A dependência de domínios legítimos comprometidos e comunicação de saída para servidores remotos também aumenta a chance de tráfego malicioso ser confundido com atividade normal, principalmente quando políticas de proxy e DNS não classificam comportamento por contexto.
- Endpoints Windows que permitem abertura de atalhos LNK recebidos por e-mail ou por download externo.
- Ambientes Linux nos quais usuários executam binários ELF obtidos fora de repositórios e canais aprovados.
- Instalações do PowerPoint expostas a suplementos não confiáveis e macros embutidas em arquivos recebidos por phishing.
- Organizações indianas de defesa, governo, pesquisa, política, infraestrutura crítica e áreas adjacentes ao setor de defesa.
A caça deve priorizar a correlação entre entrega por e-mail, criação de arquivos temporários, execução de componentes nativos do Windows e comunicação de saída para destinos incomuns. Eventos envolvendo abertura de LNK seguida por comando operacional omitido, criação de HTA, carregamento de DLL e gravação de PDF isca merecem análise conjunta, especialmente quando ocorrem logo após interação com anexo ou link recebido por e-mail. A exibição de documento aparentemente legítimo não elimina o risco; nesse fluxo, o PDF funciona como cobertura enquanto a cadeia prepara persistência e comunicação de comando e controle.
Em endpoints Linux, a investigação deve procurar execução de binários Go ou ELF desconhecidos, download subsequente de script shell e início de processos Python fora do padrão operacional do usuário. Para DeskRAT, a telemetria relevante inclui PowerPoint carregando suplementos incomuns, macro estabelecendo conexão externa e download de binário Golang. Em todos os casos, a defesa deve buscar sinais de reconhecimento de sistema, enumeração de processos, acesso a credenciais, captura de tela, manipulação da área de transferência, operações de arquivo em massa e acesso a mídias USB conectadas.
- Sequência LNK, comando operacional omitido, HTA, DLL e criação de PDF em curto intervalo após interação com e-mail.
- Conexões de saída iniciadas por processos de documento, componentes HTA, macros ou binários recém-criados.
- Execução de binários ELF ou Go desconhecidos seguida de script shell e processo Python associado a RAT.
- Eventos de leitura ou alteração da área de transferência, captura de tela, coleta de credenciais e acesso a dispositivos USB.
- Enumeração de processos e aplicativos instalados executada por processos sem histórico administrativo legítimo.
A resposta deve começar pela redução dos caminhos de execução usados nas campanhas. Gateways de e-mail e plataformas de colaboração precisam tratar anexos LNK, suplementos do PowerPoint, arquivos com macro e downloads externos como objetos de alto risco quando associados a temas de defesa ou documentos institucionais não solicitados. Em endpoints Windows, controles de aplicação devem restringir execução de HTA e abuso de comando operacional omitido por usuários comuns, além de bloquear carregamento de DLL e criação de persistência por artefatos recém-baixados. Em Linux, a prioridade é impedir execução de binários fora de caminhos aprovados e registrar downloads que acionem scripts ou processos Python subsequentes.
A contenção de hosts suspeitos deve preservar evidências de e-mail, arquivos iniciais, árvore de processos, conexões de rede, chaves ou locais de persistência e artefatos de disco relacionados aos RATs. Como as famílias citadas têm capacidade de coleta de credenciais, manipulação de área de transferência e acesso a dados em USB, a investigação precisa incluir rotação de credenciais usadas no endpoint afetado, revisão de acessos recentes e verificação de movimentação de arquivos sensíveis. A erradicação deve remover persistência, bloquear infraestrutura identificada de forma defangada nos controles internos e validar que não há processos ou tarefas remanescentes associados às cadeias observadas.
- Bloquear ou isolar anexos LNK, arquivos PowerPoint Add-In, documentos com macro e binários ELF recebidos por canais não confiáveis.
- Criar detecções para execução de comando operacional omitido iniciada por artefatos de usuário e para cadeias envolvendo HTA, DLL e PDF isca.
- Restringir execução de binários Go, scripts shell e processos Python fora de diretórios e repositórios aprovados em Linux.
- Revisar conexões de saída originadas por PowerPoint, HTA, macros, binários recém-criados e processos sem reputação local.
- Rotacionar credenciais expostas em hosts suspeitos e auditar acessos a arquivos, área de transferência, capturas de tela e dispositivos USB.
0 Comentários