Les entités gouvernementales indiennes ont été la cible de deux campagnes menées par un acteur menaçant opérant au Pakistan en utilisant un savoir-faire jusqu'alors inconnu.
Les campagnes portent des noms de code. Frappe de Gopher et attaque à la lame par Zscaler ThreatLabz, qui les a identifiés en septembre 2025.
“Bien que ces campagnes partagent certaines similitudes avec le groupe APT36 (Advanced Persistent Threat) lié au Pakistan, nous évaluons avec un degré de confiance moyen que l'activité identifiée au cours de cette analyse pourrait provenir d'un nouveau sous-groupe ou d'un autre groupe lié au Pakistan opérant en parallèle”, ont déclaré les chercheurs Sudeep Singh et Yin Hong Chang.
Sheet Attack tire son nom de l'utilisation de services légitimes tels que Google Sheets, Firebase et la messagerie électronique pour le commandement et le contrôle (C2). D'un autre côté, on estime que Gopher Strike a utilisé les e-mails de phishing comme point de départ pour fournir des documents PDF contenant une image floue superposée par une fenêtre contextuelle apparemment inoffensive qui demande au destinataire de télécharger une mise à jour pour Adobe Acrobat Reader DC.
Le but principal de l'image est de donner l'impression aux utilisateurs que la mise à jour doit être installée pour accéder au contenu du document. Cliquer sur le bouton « Télécharger et installer » dans la fausse boîte de dialogue de mise à jour déclenche le téléchargement d'un fichier image ISO uniquement lorsque les demandes proviennent d'adresses IP situées en Inde et que la chaîne User-Agent correspond à Windows.
“Ces vérifications côté serveur empêchent les outils d'analyse automatique d'URL d'obtenir le fichier ISO, garantissant ainsi que le fichier malveillant n'est transmis qu'aux cibles prévues”, a déclaré Zscaler.
La charge utile malveillante intégrée dans l'image ISO est un téléchargeur basé sur Golang appelé GOGITTER qui est responsable de la création d'un fichier Visual Basic Script (VBScript) s'il n'existe pas déjà aux emplacements suivants : “C:\Users\Public\Downloads”, “C:\Users\Public\Pictures” et “%APPDATA%”. Le script est conçu pour récupérer les commandes VBScript toutes les 30 secondes à partir de deux serveurs C2 préconfigurés.
GOGITTER configure également la persistance à l'aide d'une tâche planifiée configurée pour exécuter le fichier VBScript susmentionné toutes les 50 minutes. De plus, il détermine la présence d'un autre fichier appelé « adobe_update.zip » dans les trois mêmes dossiers. Si le fichier ZIP n'est pas présent, extrayez le fichier depuis un référentiel GitHub privé (“github[.]com/jaishankai/sockv6”). Le compte GitHub a été créé le 7 juin 2025.
Une fois le téléchargement réussi, la chaîne d'attaque envoie une requête HTTP GET au domaine « adobe-acrobat[.]in” indique probablement aux acteurs de la menace que le point final a été infecté. GOGITTER extrait et exécute ensuite “edgehost.exe” du fichier ZIP. Une porte dérobée légère basée sur Golang, GITSHELLPAD, exploite les référentiels GitHub privés contrôlés par les acteurs de la menace pour C2.
Plus précisément, il interroge le serveur C2 toutes les 15 secondes à l'aide d'une requête GET pour accéder au contenu d'un fichier appelé « command.txt ». Prend en charge six commandes différentes :
- CD..pour changer le répertoire de travail en répertoire personnel
- CDpour changer le répertoire vers le chemin spécifié
- courirpour exécuter une commande en arrière-plan sans capturer la sortie
- augmenterpour télécharger un fichier local spécifié par chemin vers le référentiel GitHub
- déchargepour télécharger un fichier vers le chemin spécifié
- cas par défautpour exécuter une commande en utilisant cmd /c et capturer le résultat
Les résultats de l'exécution de la commande sont stockés dans un fichier appelé « result.txt » et téléchargés sur le compte GitHub à l'aide d'une requête HTTP PUT. Le « command.txt » est ensuite supprimé du référentiel GitHub une fois la commande exécutée avec succès.
Zscaler a déclaré avoir observé l'acteur malveillant télécharger également des fichiers RAR à l'aide de commandes cURL après avoir accédé à la machine de la victime. Les fichiers incluent des utilitaires permettant de collecter des informations système et de télécharger GOSHELL, un chargeur personnalisé basé sur Golang utilisé pour fournir la Cobalt Strike Beacon après plusieurs cycles de décodage. Les outils sont nettoyés de la machine après utilisation.
“La taille de GOSHELL a été artificiellement gonflée à environ 1 Go en ajoutant des octets indésirables à la superposition du Portable Executable (PE), susceptibles d'échapper à la détection par un logiciel antivirus”, a déclaré la société de cybersécurité. “GOSHELL ne fonctionne que sur des noms d'hôtes spécifiques en comparant le nom d'hôte de la victime à une liste hachée.”
