L'acteur malveillant connu sous le nom de Transparent Tribe a été accusé d'une nouvelle série d'attaques ciblant le gouvernement indien, des entités universitaires et stratégiques avec un cheval de Troie d'accès à distance (RAT) qui leur donne un contrôle persistant sur les hôtes compromis.
“La campagne utilise des techniques de diffusion trompeuses, notamment un fichier de raccourci Windows (LNK) déguisé en document PDF légitime et intégré au contenu PDF complet pour échapper aux soupçons des utilisateurs”, a déclaré CYFIRMA dans un livre blanc.
Transparent Tribe, également appelé APT36, est un groupe de piratage informatique connu pour lancer des campagnes de cyberespionnage contre des organisations indiennes. Considéré comme d’origine pakistanaise, l’adversaire parrainé par l’État est actif depuis au moins 2013.
L’acteur menaçant se vante de disposer d’un arsenal de RAT en constante évolution pour atteindre ses objectifs. Certains des chevaux de Troie utilisés par Transparent Tribe ces dernières années incluent CapraRAT, Crimson RAT, ElizaRAT et DeskRAT.
La dernière série d'attaques a commencé avec un e-mail de phishing contenant un fichier ZIP avec un fichier LNK déguisé en PDF. L'ouverture du fichier déclenche l'exécution d'un script d'application HTML distante (HTA) utilisant “mshta.exe” qui déchiffre et charge la charge utile RAT finale directement en mémoire. Parallèlement, HTA télécharge et ouvre un document PDF leurre afin de ne pas éveiller les soupçons des utilisateurs.
“Une fois la logique de décodage établie, HTA exploite les objets ActiveX, en particulier WScript.Shell, pour interagir avec l'environnement Windows”, a noté CYFIRMA. “Ce comportement démontre le profilage de l'environnement et la manipulation du runtime, garantissant la compatibilité avec le système cible et augmentant la fiabilité de l'exécution des techniques couramment observées dans les logiciels malveillants abusant de 'mshta.exe'.”
Un aspect remarquable des malwares est leur capacité à adapter leur méthode de persistance en fonction des solutions antivirus installées sur la machine infectée.
- Si Kapsersky est détecté, il crée un répertoire de travail dans “C:\Users\Public\core\”, écrit une charge utile HTA obscurcie sur le disque et établit la persistance en plaçant un fichier LNK dans le dossier de démarrage de Windows qui, à son tour, démarre le script HTA à l'aide de “mshta.exe”.
- Si Quick Heal est détecté, il établit la persistance en créant un fichier batch et un fichier LNK malveillant dans le dossier de démarrage de Windows, en écrivant la charge utile HTA sur le disque, puis en l'appelant à l'aide du script batch.
- Si Avast, AVG ou Avira est détecté, cela fonctionne en copiant directement la charge utile dans le répertoire d'accueil et en l'exécutant.
- Si aucune solution antivirus reconnue n'est détectée, une combinaison d'exécution de fichier batch, de persistance basée sur les journaux et de déploiement de charge utile est utilisée avant de démarrer le script batch.
Le deuxième fichier HTA comprend une DLL appelée “iinneldc.dll” qui fonctionne comme un RAT complet et prend en charge le contrôle du système à distance, la gestion des fichiers, l'exfiltration de données, la capture d'écran, la manipulation du presse-papiers et le contrôle des processus.
“APT36 (Transparent Tribe) reste une menace de cyberespionnage très persistante et stratégique, avec un accent soutenu sur la collecte de renseignements ciblant les entités gouvernementales indiennes, les établissements d'enseignement et d'autres secteurs stratégiquement pertinents”, a déclaré la société de cybersécurité.
Ces dernières semaines, APT36 a également été lié à une autre campagne qui exploite un fichier de raccourci malveillant déguisé en PDF d'avis gouvernemental (« NCERT-Whatsapp-Advisory.pdf.lnk ») pour fournir un chargeur basé sur .NET, qui télécharge ensuite des exécutables supplémentaires et des DLL malveillantes pour établir l'exécution de commandes à distance, la reconnaissance du système et un accès à long terme.
Le raccourci est conçu pour exécuter une commande obscurcie utilisant cmd.exe pour récupérer un programme d'installation MSI (“nikmights.msi”) à partir d'un serveur distant (“aeroclubofindia.co[.]in”), qui est chargé de lancer une série d'actions –
- Extraire et afficher un document PDF leurre à la victime
- Décode et écrit les fichiers DLL dans « C:\ProgramData\PcDirvs\pdf.dll » et « C:\ProgramData\PcDirvs\wininet.dll »
- Placez “PcDirvs.exe” au même endroit et exécutez-le après un délai de 10 secondes.
- Établissez la persistance en créant “PcDirvs.hta” qui contient un script Visual Basic pour apporter des modifications au registre afin de démarrer “PcDirvs.exe” à chaque démarrage du système.
Il convient de noter que le leurre PDF affiché est un avis légitime émis par l'équipe nationale de réponse aux cyber-urgences du Pakistan (PKCERT) en 2024 concernant une campagne de messagerie WhatsApp frauduleuse ciblant les entités gouvernementales pakistanaises avec un fichier WinRAR malveillant qui infecte les systèmes avec des logiciels malveillants.
La DLL « wininet.dll » se connecte à une infrastructure de commande et de contrôle (C2) codée et hébergée sur dns.wmiprovider.[.]com. Il a été enregistré à la mi-avril 2025. Le C2 associé à l'activité est actuellement en panne, mais la persistance basée sur le registre Windows garantit que la menace peut être ressuscitée à tout moment dans le futur.
“La DLL implémente plusieurs points de terminaison basés sur HTTP GET pour établir la communication avec le serveur C2, effectuer des mises à jour et récupérer les commandes émises par l'attaquant”, a déclaré CYFIRMA. “Pour échapper à la détection de chaînes statiques, les caractères de point de terminaison sont intentionnellement stockés dans l'ordre inverse.”
La liste des points de terminaison est la suivante :
- /retsiger (enregistrement), pour enregistrer le système infecté sur le serveur C2
- /taebtraeh (battement de coeur), pour signaler sa présence au serveur C2
- /dnammoc_teg (get_command), pour exécuter des commandes arbitraires via “cmd.exe”
- /dnammocmvitna (antivmcommand), pour interroger ou définir un état anti-VM et probablement ajuster le comportement
La DLL interroge également les produits antivirus installés sur le système victime, ce qui en fait un outil puissant capable d'effectuer des reconnaissances et de collecter des informations sensibles.
Patchwork lié au nouveau cheval de Troie StreamSpy
Cette révélation intervient quelques semaines après que Patchwork (également connu sous le nom de Dropping Elephant ou Maha Grass), un groupe de hackers soupçonné d'être d'origine indienne, ait été lié à des attaques visant le secteur de la défense pakistanais avec une porte dérobée basée sur Python distribuée via des e-mails de phishing contenant des fichiers ZIP, selon le chercheur en sécurité Idan Tarab.
À l'intérieur du fichier se trouve un projet MSBuild qui, lorsqu'il est exécuté via “msbuild.exe”, implémente un compte-gouttes pour enfin installer et démarrer le Python RAT. Le malware est équipé pour contacter un serveur C2 et exécuter des modules Python à distance, exécuter des commandes et télécharger/télécharger des fichiers.
“Cette campagne représente un ensemble d'outils Patchwork APT modernisé et hautement obscurci qui combine des chargeurs LOLBin de MSBuild, des runtimes Python modifiés par PyInstaller, des implants de bytecode ordonnés, du géofencing, des points de terminaison PHP C2 randomisés, [and] des mécanismes de persistance réalistes”, a déclaré Tarab.
Depuis décembre 2025, Patchwork s'est également associé à un cheval de Troie jusqu'alors non documenté appelé StreamSpy, qui utilise les protocoles WebSocket et HTTP pour la communication C2. Alors que le canal WebSocket est utilisé pour recevoir des instructions et transmettre les résultats d'exécution, HTTP est utilisé pour les transferts de fichiers.
Les liens de StreamSpy avec Patchwork, selon QiAnXin, proviennent de ses similitudes avec Spyder, une variante d'une autre porte dérobée appelée WarHawk attribuée à SideWinder. L'utilisation de Spyder par Patchwork remonte à 2023.
Distribué via des fichiers ZIP (“OPS-VII-SIR.zip”) hébergés sur “firebasescloudemail[.]com”, le malware (“Annexure.exe”) peut collecter des informations système, établir la persistance via le registre Windows, des tâches planifiées ou via un fichier LNK dans le dossier de démarrage, communiquer avec le serveur C2 en utilisant HTTP et WebSocket. La liste des commandes prises en charge est ci-dessous :
- F1A5C3, pour télécharger un fichier et l'ouvrir à l'aide de ShellExecuteExW
- B8C1D2, pour configurer le shell pour l'exécution de commandes dans cmd
- E4F5A6, pour configurer le shell pour l'exécution de commandes dans PowerShell
- FL_SH1, pour fermer tous les shells
- C9E3D4, E7F8A9, H1K4R8, C0V3RT, pour télécharger des fichiers zip cryptés à partir du serveur C2, les extraire et les ouvrir à l'aide de ShellExecuteExW
- F2B3C4, pour collecter des informations sur le système de fichiers et tous les disques connectés à l'appareil
- D5E6F7, pour charger et télécharger des fichiers
- A8B9C0, pour télécharger des fichiers
- D1E2F3, pour supprimer un fichier
- A4B5C6, pour changer le nom d'un fichier
- D7E8F9, pour lister un dossier spécifique
QinAnXin a déclaré que le site de téléchargement StreamSpy héberge également des variantes de Spyder avec des fonctionnalités étendues de collecte de données, ajoutant que la signature numérique du malware montre des corrélations avec un autre RAT Windows appelé ShadowAgent attribué à l'équipe DoNot (alias Brainworm). Il est intéressant de noter que le 360 Threat Intelligence Center a signalé le même exécutable « Annexure.exe » que ShadowAgent en novembre 2025.
“L'émergence des variantes du cheval de Troie StreamSpy et Spyder du groupe Maha Grass indique que le groupe réitère continuellement son arsenal d'outils d'attaque”, a déclaré le fournisseur de sécurité chinois.
“Dans le cheval de Troie StreamSpy, les attaquants tentent d'utiliser les canaux WebSocket pour émettre des commandes et obtenir des commentaires afin d'échapper à la détection et à la censure du trafic HTTP. De plus, les échantillons corrélés confirment en outre que les groupes d'attaque Maha Grass et DoNot ont des liens en termes de partage de ressources. “