أفادت شركة CYFIRMA أن مجموعة Transparent Tribe، المعروفة أيضاً باسم APT36، أطلقت حملة تجسس إلكتروني جديدة ضد كيانات حكومية وأكاديمية في الهند. الحملة اعتمدت على ملف اختصار LNK مزيف يتظاهر بأنه مستند PDF شرعي، ويحتوي بالفعل على محتوى PDF كامل لتضليل الضحايا. عند فتح الملف، يتم تشغيل سكربت HTA عبر أداة “mshta.exe”، ليقوم بفك تشفير حمولة RAT وتحميلها مباشرة في الذاكرة، مع عرض مستند PDF وهمي لتجنب إثارة الشكوك.
قدرات التكيّف مع برامج الحماية
البرمجية الخبيثة أظهرت قدرة على تغيير أسلوبها في تثبيت الاستمرارية بحسب نوع برنامج مكافحة الفيروسات المثبت على الجهاز:
- مع Kaspersky: إنشاء مجلد عمل وملف HTA مشفر، ثم إضافة اختصار خبيث في مجلد بدء التشغيل.
- مع Quick Heal: إنشاء ملف Batch وملف LNK خبيث لتشغيل الحمولة.
- مع Avast/AVG/Avira: نسخ الحمولة مباشرة إلى مجلد بدء التشغيل وتشغيلها.
- في حال عدم وجود برنامج حماية معروف: استخدام مزيج من ملفات Batch وتعديلات في السجل لتثبيت الاستمرارية.
الحمولة تضمنت مكتبة DLL باسم iinneldc.dll تعمل كـ RAT كامل الوظائف، قادر على التحكم عن بعد بالنظام، إدارة الملفات، سرقة البيانات، التقاط صور للشاشة، التحكم بالعمليات، والتلاعب بالحافظة.
حملة إضافية باستخدام مستندات حكومية مزيفة
في الأسابيع الأخيرة، رُبطت المجموعة أيضاً بحملة أخرى تضمنت ملف اختصار مزيف باسم NCERT-Whatsapp-Advisory.pdf.lnk، والذي يقوم بتنزيل مثبت MSI من خادم خارجي، ثم يزرع ملفات DLL خبيثة ويُنشئ آليات استمرارية عبر تعديلات في سجل ويندوز. الملف المعروض للضحايا كان نسخة شرعية من تحذير صادر عن فريق الاستجابة الطارئة الباكستاني (PKCERT) عام 2024، مما زاد من مصداقية الهجوم.
بنية تحتية وتحكم عن بعد
أحد ملفات DLL الخبيثة (wininet.dll) يتصل بخادم تحكم وسيطرة (dns.wmiprovider[.]com) عبر مجموعة من نقاط نهاية HTTP مشفرة بشكل معكوس لتجنب الاكتشاف. هذه النقاط تشمل أوامر للتسجيل، إرسال إشارات “heartbeat”، وتنفيذ أوامر عبر “cmd.exe”، إضافة إلى وظائف مضادة لبيئات المحاكاة الافتراضية.
ظهور تهديدات جديدة من مجموعة Patchwork
بالتوازي، تم ربط مجموعة Patchwork (المعروفة أيضاً بـ Dropping Elephant أو Maha Grass) بهجمات ضد قطاع الدفاع الباكستاني باستخدام باب خلفي مكتوب بلغة بايثون. أحدث أدواتها هو StreamSpy Trojan، الذي يستخدم بروتوكولات WebSocket وHTTP للتواصل مع خوادم C2، ما يمنحه قدرة على تنفيذ أوامر عن بعد، نقل الملفات، وجمع بيانات النظام. التحليلات أظهرت أن StreamSpy يرتبط بسلالات سابقة مثل Spyder وWarHawk، ويشارك بعض الموارد مع مجموعة DoNot Team، ما يعكس شبكة معقدة من التعاون وتبادل الأدوات بين مجموعات التهديد.
