Un reciente informe de BlackBerry reveló que el grupo Transparent Tribe, con base en Pakistán, está vinculado a una serie de nuevos ataques dirigidos a sectores gubernamentales, de defensa y aeroespaciales en la India. Este grupo ha utilizado malware escrito en Python, Golang y Rust, y se espera que continúe sus actividades en el futuro previsible.
Según el informe, estos ataques, que tuvieron lugar desde finales de 2023 hasta abril de 2024, se destacan por abusar de servicios en línea populares como Discord, Google Drive, Slack y Telegram. Además, se revela que los objetivos de los ataques basados en correo electrónico incluyeron tres empresas ubicadas en Bengaluru, India, y sospechosamente dirigidos a Hindustan Aeronautics Limited (HAL), Bharat Electronics Limited (BEL) y BEML Limited. Aunque no se mencionan los nombres de estas empresas, todas son partes interesadas cruciales y clientes del Departamento de Producción de Defensa (DDP) en la India.
Transparent Tribe, también conocido como APT36, Earth Karkaddan, Mythic Leopard, Operation C-Major y PROJECTM, ha estado activo desde al menos 2013. Se le atribuye haber realizado operaciones de espionaje cibernético contra entidades gubernamentales, militares y educativas en la India, así como campañas de spyware altamente específicas en otros países como Pakistán, Afganistán, Irak, Irán y los Emiratos Árabes Unidos.
El grupo ha experimentado con diversos métodos de intrusión y ha empleado diferentes tipos de malware a lo largo de los años para evadir la detección. Algunas de las familias de malware utilizadas incluyen CapraRAT, CrimsonRAT, ElizaRAT, GLOBSHELL, LimePad, ObliqueRAT, Poseidon, PYSHELLFOX, Stealth Mango y Tangelo.
Además, han sido rastreados hasta un grupo de desarrolladores independientes con sede en Lahore. Estos desarrolladores están disponibles para contratación y según la empresa de seguridad móvil Lookout, al menos un empleado del gobierno trabaja como desarrollador de aplicaciones móviles.
Los ataques ejecutados por el grupo incluyen el uso de correos electrónicos de spear-phishing para implantar cargas maliciosas, centrándose en binarios ELF debido a la gran dependencia del gobierno indio en sistemas operativos basados en Linux. Además, se ha descubierto que utilizan imágenes ISO para desplegar un troyano de acceso remoto basado en Python que utiliza Telegram con fines de C2.
BlackBerry también reveló el uso de herramientas de espionaje compiladas en Golang, con capacidades para encontrar y exfiltrar archivos, tomar capturas de pantalla, cargar y descargar archivos, y ejecutar comandos. Esta herramienta recibe instrucciones de Discord y se entrega a través de un descargador de binarios ELF empaquetado en un archivo ZIP.
En resumen, Transparent Tribe continúa siendo una seria amenaza para la seguridad nacional de la India, utilizando un conjunto de tácticas que ha ido ajustando con el tiempo.
Vía The Hacker News
