Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Il gruppo di hacker Transparent Tribe ha lanciato una nuova ondata di attacchi di cyberspionaggio contro agenzie governative, istituti scientifici e organizzazioni di importanza strategica in India. Lo strumento principale degli aggressori è una nuova variante di un trojan di accesso remoto che consente loro di mantenere una presenza persistente in un sistema compromesso.
Secondo Cyfirma, l’attuale campagna inizia con e-mail di phishing contenenti un archivio allegato contenente un collegamento a Windows camuffato da documento PDF. Una volta avviato il file, uno script HTA, eseguito tramite “mshta.exe“, viene attivato sul computer della vittima. Questo script decifra e carica il componente dannoso direttamente nella RAM, aprendo contemporaneamente un documento PDF fittizio per evitare sospetti.
Durante l’esecuzione, lo script interagisce con il sistema operativo tramite oggetti ActiveX, consentendogli di determinare i parametri di sistema e adattare il proprio comportamento in base alle specifiche della macchina. Questo comportamento aumenta l’affidabilità dell’esecuzione del codice dannoso.
Il meccanismo di persistenza è particolarmente interessante. Il programma analizza il software antivirus installato e utilizza metodi diversi a seconda del prodotto rilevato. Ad esempio, se è installata una soluzione di sicurezza Kaspersky Lab, crea una cartella nascosta e vi scrive un file crittografato, che viene avviato tramite un collegamento nella cartella di avvio.
Nel caso di Quick Heal, il trojan crea un file bat che richiama lo stesso script HTA. Se vengono rilevate soluzioni di Avast, AVG o Avira, il file dannoso viene copiato direttamente nella cartella di avvio. Se non viene rilevato alcun antivirus, viene utilizzata una combinazione di script e modifiche al registro di sistema.
Il componente dannoso principale, la libreria iinneldc.dll, svolge funzioni di spionaggio: può controllare il sistema, lavorare con i file, intercettare dati, acquisire screenshot ed eseguire comandi tramite la riga di comando.
Oltre a questo attacco, il gruppo è anche collegato a un’altra recente operazione che ha utilizzato una scorciatoia camuffata da documento governativo. Il file dannoso, denominato “NCERT-Whatsapp-Advisory.pdf.lnk“, scarica un programma di installazione da un sito web associato al dominio “aeroclubofindia.co[.]in“. Una volta avviato, estrae e installa librerie dannose e un eseguibile ritardato sul dispositivo della vittima. Questa persistenza è ottenuta tramite uno script VBScript che modifica il registro per garantire che l’eseguibile principale venga eseguito a ogni avvio.
Vale la pena notare che il documento PDF visualizzato era in realtà un avviso ufficiale emesso in Pakistan nel 2024 in merito alla distribuzione di un file dannoso tramite WhatsApp. Questo viene utilizzato per aumentare l’affidabilità dell’allegato e la probabilità che venga diffuso.
Una delle librerie stabilisce una connessione a un server di comando e controllo il cui dominio è stato registrato nella primavera del 2025. Sebbene questo server sia attualmente inattivo, il file di avvio memorizzato nel sistema consente di ripristinare facilmente il controllo sul dispositivo infetto.
La libreria si connette al server tramite richieste GET, registrando il sistema infetto, trasmettendo regolarmente segnali di attività e ricevendo nuovi comandi. Tutte le richieste sono crittografate in ordine URL inverso per evitare il rilevamento tramite analisi delle firme. La libreria verifica anche la presenza di soluzioni antivirus, ampliando ulteriormente le sue capacità di raccolta di informazioni e di adattamento del comportamento in base all’ambiente.
La Transparent Tribe rimane quindi un avversario persistente e metodico che prende di mira il governo indiano e le strutture di ricerca per raccogliere informazioni.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
