SideCopy mira Ministério das Finanças do Afeganistão com phishing e Xeno RAT

Campanha atribuída ao grupo alinhado ao Paquistão usa isca em pashto, arquivo LNK, comando operacional omitido, aplicação HTA remota e loader baseado em DLL para implantar Xeno RAT 1.8.7 em alvos governamentais afegãos.

Componente	Campanha Operation XENOFISCAL contra o Ministério das Finanças do Afeganistão, diretorias provinciais de receita e finanças, funcionários governamentais que falam pashto e empregados públicos em nível provincial.
Vetor	Spear-phishing com arquivo ZIP contendo um atalho malicioso `LNK` com nome de arquivo em pashto; quando executado, o atalho aciona comando operacional omitido para buscar uma aplicação `HTA` remota a partir de um domínio educacional afegão comprometido.
Impacto	`Xeno RAT 1.8.7` permite controle remoto por TCP, execução de módulos `DLL` externos, operações sobre arquivos, captura de teclas, capturas de tela, monitoramento de área de transferência, acesso a webcam e microfone, coleta de informações de antivírus e tunelamento via `SOCKS5`.
Prioridade	Caçar execução anômala de comando operacional omitido iniciada por arquivos `LNK`, conexões TCP associadas ao RAT, persistência no Registro imitando Microsoft Edge, tarefas agendadas criadas pelo malware e presença de documento-isca junto ao loader.
Artefatos	Arquivo ZIP de entrega, atalho `LNK`, aplicação `HTA`, JavaScript ofuscado executado em memória, loader baseado em `DLL`, documento-isca e `Xeno RAT 1.8.7`.
Atribuição	A atividade é avaliada como provável operação do SideCopy, grupo associado ao ecossistema Transparent Tribe, também conhecido como `APT36`.

Resumo técnico

Uma campanha de spear-phishing identificada como Operation XENOFISCAL foi direcionada a órgãos financeiros do governo afegão e usou Xeno RAT como carga de acesso remoto. Os alvos descritos incluem o Ministério das Finanças do Afeganistão, diretorias provinciais ligadas a receita e finanças, funcionários governamentais que falam pashto e empregados públicos em nível provincial. A seleção linguística da isca não é incidental: o uso de um nome de arquivo em pashto no atalho malicioso indica adaptação ao ambiente humano e administrativo dos alvos, aumentando a probabilidade de abertura do arquivo por usuários com relação direta ao tema governamental.

A operação é atribuída como provável atividade do SideCopy, grupo alinhado ao Paquistão e operando dentro do guarda-chuva mais amplo do Transparent Tribe, também rastreado como APT36. O mesmo ecossistema já havia sido associado a campanhas contra setores na Índia com uso de Xeno RAT, Spark RAT e CurlBack RAT. Na campanha afegã, o encadeamento observado combina técnicas comuns em intrusões dirigidas: entrega por arquivo compactado, abuso de atalho do Windows, execução por binário legítimo do sistema, busca de conteúdo remoto, ofuscação em memória, loader baseado em biblioteca, documento-isca e persistência local.

Fluxo técnico

A cadeia começa com um arquivo ZIP enviado como isca de phishing direcionado. Dentro dele há um arquivo de atalho LNK com nome construído em pashto. A execução do atalho aciona comando operacional omitido, um binário legítimo do Windows capaz de processar aplicações HTML. Nesse fluxo, comando operacional omitido busca uma aplicação HTA hospedada em um domínio educacional afegão previamente comprometido. O uso de infraestrutura comprometida ligada ao país-alvo reduz a aparência de anomalia em alguns controles de rede, especialmente quando a defesa confia demais em reputação ampla de domínio ou em geolocalização como critério isolado.

Depois da busca remota, a cadeia conduz à execução de JavaScript ofuscado em memória. O objetivo é avançar para a implantação do malware sem depender apenas de um arquivo executável inicial evidente no disco. O processo também estabelece persistência baseada no Registro, com tentativa de se passar por Microsoft Edge. Em paralelo, um loader baseado em DLL deposita Xeno RAT 1.8.7 e um documento-isca, usado para distrair o usuário e reduzir a percepção imediata de falha ou comportamento malicioso após a abertura do conteúdo.

Xeno RAT se comunica com um servidor remoto por TCP para receber comandos do operador. As capacidades descritas cobrem execução de módulos DLL externos, transmissão de dados ao servidor, inicialização por tarefa agendada, coleta de informações sobre antivírus, tunelamento de rede via SOCKS5, operações de arquivo, registro de teclas, captura de tela, monitoramento da área de transferência, rastreamento de webcam e microfone, remoção de mecanismos de persistência e autoexclusão. Essas funções indicam uma ferramenta voltada a controle pós-comprometimento, coleta de dados do host e manutenção flexível do acesso.

Superfície afetada

A superfície mais exposta é composta por estáções Windows de usuários governamentais que recebem e abrem anexos relacionados a atividades administrativas, financeiras ou provinciais. O vetor exige interação inicial com o arquivo compactado e execução do atalho, mas a engenharia social é reforçada por linguagem local e provável alinhamento temático com o ambiente dos destinatários. A presença de diretorias provinciais entre os alvos amplia o risco operacional, porque estruturas descentralizadas podem ter maturidade desigual de filtragem de e-mail, telemetria de endpoint, bloqueio de scripts e resposta a incidentes.

O componente de execução depende de comportamentos que muitas organizações ainda permitem por compatibilidade: atalhos recebidos por anexo, execução de comando operacional omitido, processamento de HTA, criação de chaves no Registro e criação de tarefas agendadas. Mesmo sem exploração de vulnerabilidade descrita, o risco é alto quando políticas de controle de aplicação não restringem binários frequentemente abusados, quando anexos compactados não são inspecionados em profundidade e quando processos filhos iniciados por atalhos não são correlacionados com a origem do arquivo.

Estáções Windows de funcionários do Ministério das Finanças do Afeganistão e órgãos provinciais relacionados a receita e finanças.
Usuários que recebem arquivos ZIP com atalhos LNK nomeados em pashto e associados a temas governamentais.
Ambientes que permitem execução de comando operacional omitido, aplicações HTA, JavaScript ofuscado em memória e persistência via Registro.
Hosts nos quais criação de tarefa agendada, loader baseado em DLL e documento-isca não são correlacionados como parte de uma mesma cadeia.

Hunting e telemetria

A detecção deve priorizar a sequência de eventos, não apenas artefatos isolados. Um sinal forte é a execução de comando operacional omitido iniciada a partir de um LNK extraído de arquivo compactado ou localizado em diretório de usuário. Também merece investigação qualquer HTA remoto recuperado logo após abertura de anexo, especialmente quando o destino é um domínio que não costuma servir aplicações administrativas ao usuário. A defesa deve cruzar origem do arquivo, processo pai, linha de comando normalizada, criação de conexões de rede e alterações de persistência em curto intervalo de tempo.

No endpoint, a cadeia deixa oportunidades de correlação em eventos de criação de processo, carregamento de DLL, escrita em diretórios de usuário, criação de tarefa agendada, alterações no Registro que tentam imitar Microsoft Edge e aparição de documento-isca próximo ao momento da execução. Em rede, a comunicação do RAT por TCP e o possível uso de SOCKS5 devem ser avaliados a partir de padrões de conexão incomuns para perfis administrativos, destinos raros, sessões persistentes e tráfego originado por processos que não deveriam atuar como clientes remotos controlados por operador.

A coleta defensiva também deve observar capacidades do malware que afetam privacidade e sigilo operacional. Acesso a webcam e microfone, captura de tela, monitoramento da área de transferência e registro de teclas podem produzir eventos em soluções EDR, controles de privacidade do sistema e logs de API quando disponíveis. A coleta de informações sobre antivírus pelo malware é outro ponto útil: consultas incomuns sobre produtos de segurança a partir de processos recém-criados após abertura de anexo podem indicar preparação para evasão, ajuste de comportamento ou reconhecimento local.

Execução de comando operacional omitido com processo pai relacionado a atalho LNK, arquivo ZIP ou diretório temporário do usuário.
Busca de aplicação HTA remota a partir de domínio educacional afegão comprometido, sem necessidade de publicar o domínio ativo em canais operacionais.
JavaScript ofuscado executado em memória logo após abertura de anexo de phishing.
Chaves de Registro ou nomes de persistência que tentam se passar por Microsoft Edge.
Criação de tarefa agendada associada ao início do malware.
Carregamento de DLL por loader não reconhecido e deposição de documento-isca no mesmo período da infecção.
Conexões TCP persistentes ou incomuns compatíveis com controle remoto por Xeno RAT e tunelamento SOCKS5.

Mitigação

A resposta deve começar pela contenção dos hosts que executaram o atalho ou apresentaram a cadeia LNK para comando operacional omitido e HTA. Como o malware possui capacidades de coleta de teclado, tela, área de transferência, webcam e microfone, as contas usadas em máquinas suspeitas devem ser tratadas como expostas até revisão. A investigação precisa reconstruir o intervalo entre recebimento do arquivo ZIP, extração, execução do atalho, conexão ao domínio comprometido, criação de persistência e comunicação TCP posterior. Essa linha do tempo é essencial para separar abertura sem sucesso de implantação efetiva do RAT.

Em prevenção, organizações com risco semelhante devem restringir ou monitorar rigorosamente comando operacional omitido, bloquear execução de HTA quando não houver necessidade de negócio, impedir atalhos vindos de anexos compactados e aplicar controles de aplicação sobre diretórios de usuário. Filtros de e-mail e gateways devem inspecionar ZIPs contendo LNK, especialmente quando o nome do arquivo explora idioma, tema institucional ou referência administrativa. A simples remoção do anexo não encerra a resposta quando há sinais de persistência, porque Xeno RAT pode manter inicialização por tarefa agendada e entradas no Registro.

A erradicação deve validar remoção do loader, do RAT, da tarefa agendada, das chaves de persistência e de qualquer artefato associado ao documento-isca. Depois da contenção, a equipe deve revisar logs de endpoint e rede para identificar comandos recebidos, arquivos manipulados, uso de módulos externos e possível coleta local. O hardening final deve incluir regras de detecção baseadas em comportamento, bloqueio de binários de script pouco usados, treinamento focado em anexos com atalhos e auditoria de permissões para contas governamentais com acesso a documentos financeiros sensíveis.

Isolar estáções que executaram LNK suspeito ou iniciaram comando operacional omitido após abertura de arquivo ZIP.
Bloquear ou restringir comando operacional omitido e execução de HTA em estáções onde esses recursos não são necessários.
Criar detecções para LNK em anexos compactados, busca remota de HTA, persistência no Registro imitando Microsoft Edge e criação de tarefa agendada pelo malware.
Revisar credenciais e sessões usadas em hosts suspeitos, considerando capacidades de keylogging, captura de tela e monitoramento de área de transferência.
Remover artefatos de persistência, loader baseado em DLL, Xeno RAT 1.8.7 e documento-isca, validando reinicialização limpa do endpoint.
Correlacionar conexões TCP posteriores à execução inicial para identificar controle remoto, módulos externos e possível tunelamento via SOCKS5.

SideCopy mira Ministério das Finanças do Afeganistão com phishing e Xeno RAT

Postar um comentário

0 Comentários

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Plantão de ameaças

Receba alertas

Comunidade

Assuntos

Menu Footer Widget

Contato

SideCopy mira Ministério das Finanças do Afeganistão com phishing e Xeno RAT

Talvez você goste destas postagens

Postar um comentário

0 Comentários

Siga o Cyber Guardian News

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Plantão de ameaças

Receba alertas

Briefing global de ameaças

Comunidade

Assuntos

Menu Footer Widget

Contato