Un grupo vinculado a Pakistán se ha relacionado con la larga campaña de malware conocida como «Operación Fuerza Celestial» desde al menos 2018.
La actividad implica el uso de malware Android llamado GravityRAT y un cargador de malware de Windows llamado HeavyLift. Según Cisco Talos, estos son controlados mediante una herramienta independiente llamada GravityAdmin.
La intrusión ha sido atribuida a un adversario conocido como Leopardo Cósmico, que muestra superposición táctica con Transparent Tribe.
Investigadores de seguridad han afirmado que la operación ha estado activa desde al menos 2018 y continúa en curso, dirigiéndose principalmente a usuarios en el subcontinente indio.
GravityRAT, originalmente descubierto en 2018 como un malware de Windows dirigido a entidades indias a través de correos electrónicos de spear-phishing, se ha adaptado para funcionar en sistemas Android y macOS.
El año pasado se descubrió que la versión de Android de GravityRAT se utilizaba para atacar al personal militar en la India y en la Fuerza Aérea de Pakistán.
Los hallazgos de Cisco Talos reunen todas estas actividades bajo un paraguas común, evidenciando el uso de GravityAdmin para orquestar estos ataques.
Se ha observado que Leopardo Cósmico emplea principalmente el spear-phishing y la ingeniería social para establecer la confianza con los objetivos potenciales, antes de enviarles un enlace a un sitio malicioso.
La herramienta recién descubierta, HeavyLift, es una familia de cargadores de malware basados en Electron distribuidos a través de instaladores maliciosos dirigidos al sistema operativo Windows.
Esta operación de varios años ha dirigido continuamente a entidades e individuos indios, probablemente pertenecientes a defensa, gobierno y espacios tecnológicos relacionados.
Vía The Hacker News