Un grupo de amenazas persistentes avanzadas (APT) políticamente motivado ha ampliado su arsenal de malware para incluir un nuevo troyano de acceso remoto (RAT) en sus ataques de espionaje dirigidos a entidades diplomáticas y militares indias.
Llamado CapraRAT por Trend Micro, el implante es un Android RAT que exhibe un alto «grado de cruce» con otro malware de Windows conocido como CrimsonRAT que está asociado con Earth Karkaddan, un actor de amenazas que también se rastrea bajo los nombres APT36, Operation C-Major, PROJECTM, Leopardo Mítico y Tribu Transparente.
Los primeros signos concretos de la existencia de APT36 apareció en 2016 cuando el grupo comenzó a distribuir malware para robar información a través de correos electrónicos de phishing con archivos adjuntos en PDF maliciosos dirigidos al personal militar y gubernamental indio. Se cree que el grupo es de origen pakistaní y operativo desde al menos 2013.
También se sabe que el actor de amenazas es consistente en su modus operandi, con ataques que se basan predominantemente en la ingeniería social y un Gusano basado en USB como puntos de entrada. Entre los elementos comunes en el arsenal del grupo se encuentra un ventanas puerta trasera llamado Rata carmesí que permite a los atacantes un amplio acceso a los sistemas comprometidos, aunque las campañas recientes han evolucionado para entregar ObliqueRAT.
CrimsonRAT está diseñado como un binario .NET cuyo objetivo principal es obtener y filtrar información de los sistemas Windows objetivo, incluidas capturas de pantalla, pulsaciones de teclas y archivos de unidades extraíbles, y cargarlos en el servidor de comando y control del atacante.
La nueva incorporación a su conjunto de herramientas es otra RAT de Android personalizada que se implementa mediante enlaces de phishing. Se dice que CapraRAT, que se disfraza como una aplicación de YouTube, es una versión modificada de una RAT de código abierto llamada AndroRAT y viene con una variedad de funciones de exfiltración de datos, incluida la capacidad de recopilar las ubicaciones de las víctimas, los registros telefónicos y la información de contacto. .
Esto está lejos de ser la primera vez que el grupo de piratería utiliza RAT de Android. En mayo de 2018, los defensores de los derechos humanos en Pakistán fueron atacados por un software espía de Android llamado agente sigiloso para interceptar llamadas telefónicas y mensajes, desviar fotos y rastrear su paradero.
Luego, en 2020, las campañas de ataque montadas por Transparent Tribe involucraron el aprovechamiento de señuelos de temática militar para lanzar un versión modificada de AhMyth Android RAT que se hizo pasar por una aplicación relacionada con la pornografía y una versión falsa de la Aarogya Setu Aplicación de seguimiento de COVID-19.
Para mitigar tales ataques, se recomienda a los usuarios que estén atentos a los correos electrónicos no solicitados, eviten hacer clic en enlaces o descargar archivos adjuntos de correo electrónico de remitentes desconocidos, instalen aplicaciones solo de fuentes confiables y tengan cuidado al otorgar los permisos solicitados por las aplicaciones.
