El sector de defensa de la India y organizaciones alineadas con el gobierno han sido atacadas por múltiples campañas que buscan comprometer entornos Windows y Linux mediante troyanos de acceso remoto (RAT) capaces de robar datos sensibles y mantener el acceso a las máquinas infectadas.
Las campañas se caracterizan por el uso de familias de malware como Geta RAT, Ares RAT y DeskRAT, atribuidas a los grupos de amenazas vinculados a Pakistán, SideCopy y APT36 (también conocido como Transparent Tribe). SideCopy, activo desde al menos 2019, se considera una subdivisión de Transparent Tribe.
"En conjunto, estas campañas refuerzan una narrativa familiar pero en evolución", dijo Aditya K. Sood, vicepresidente de Ingeniería de Seguridad y Estrategia de IA en Aryaka. "Transparent Tribe y SideCopy no están reinventando el espionaje, lo están refinando".
Común a todas las campañas es el uso de correos de phishing que contienen archivos adjuntos maliciosos o enlaces de descarga que dirigen a las víctimas potenciales a infraestructura controlada por los atacantes. Estos mecanismos de acceso inicial sirven como conducto para archivos de acceso directo de Windows (LNK), binarios ELF y archivos complementos de PowerPoint que, al abrirse, inician un proceso de múltiples etapas para descargar los troyanos.
Las familias de malware están diseñadas para proporcionar acceso remoto persistente, permitir el reconocimiento del sistema, recopilar datos, ejecutar comandos y facilitar operaciones posteriores a la infección en entornos Windows y Linux.
Una de las cadenas de ataque es la siguiente: un archivo LNK malicioso invoca "mshta.exe" para ejecutar un archivo HTML Application (HTA) alojado en dominios legítimos comprometidos. La carga útil HTA contiene JavaScript para descifrar una carga útil DLL incrustada, que a su vez procesa un blob de datos incrustado para escribir un PDF señuelo en el disco, se conecta a un servidor de comando y control (C2) codificado y muestra el archivo señuelo guardado.
Después de mostrar el documento señuelo, el malware verifica los productos de seguridad instalados y adapta su método de persistencia antes de implementar Geta RAT en el anfitrión comprometido. Esta cadena de ataque fue detallada por CYFIRMA y el investigador de Seqrite Labs, Sathwik Ram Prakki, a finales de diciembre de 2025.
Geta RAT admite varios comandos para recopilar información del sistema, enumerar procesos en ejecución, terminar un proceso específico, listar aplicaciones instaladas, recopilar credenciales, recuperar y reemplazar el contenido del portapapeles con datos suministrados por el atacante, capturar pantallas, realizar operaciones de archivos, ejecutar comandos arbitrarios del shell y extraer datos de dispositivos USB conectados.
Paralelamente a esta campaña centrada en Windows, existe una variante para Linux que emplea un binario Go como punto de partida para descargar un Ares RAT basado en Python mediante un script de shell descargado de un servidor externo. Al igual que Geta RAT, Ares RAT también puede ejecutar una amplia gama de comandos para extraer datos sensibles y ejecutar scripts o comandos de Python emitidos por el actor de amenazas.
Aryaka también informó haber observado otra campaña donde el malware Golang, DeskRAT, se entrega a través de un archivo complemento de PowerPoint malicioso que ejecuta una macro incrustada para establecer comunicación saliente con un servidor remoto y descargar el malware. El uso de DeskRAT por parte de APT36 fue documentado por Sekoia y QiAnXin XLab en octubre de 2025.
"Estas campañas demuestran un actor de amenazas bien financiado, centrado en el espionaje, que ataca deliberadamente a los sectores estratégicos, gubernamentales y de defensa de la India mediante señuelos temáticos de defensa, documentos oficiales suplantados e infraestructura regional de confianza", dijo la compañía. "La actividad se extiende más allá de la defensa, abarcando organizaciones de políticas, investigación, infraestructura crítica y adyacentes a la defensa que operan dentro del mismo ecosistema de confianza".
"El despliegue de DeskRAT, junto con Geta RAT y Ares RAT, subraya un conjunto de herramientas en evolución optimizado para el sigilo, la persistencia y el acceso a largo plazo".
