Entidades gubernamentales indias han sido el objetivo de dos campañas emprendidas por un actor de amenazas que opera en Pakistán utilizando tácticas previamente desconocidas. Las campañas han sido denominadas Gopher Strike y Sheet Attack por Zscaler ThreatLabz, que las identificó en septiembre de 2025.
Aunque estas campañas comparten algunas similitudes con el grupo APT36 vinculado a Pakistán, los investigadores Sudeep Singh y Yin Hong Chang evaluaron con confianza media que la actividad identificada podría originarse de un nuevo subgrupo u otro grupo vinculado a Pakistán que opera en paralelo.
Sheet Attack recibe su nombre del uso de servicios legítimos como Google Sheets, Firebase y correo electrónico para comando y control (C2). Por otro lado, se evaluó que Gopher Strike utilizó correos de phishing como punto de partida para entregar documentos PDF que contienen una imagen borrosa superpuesta con una ventana emergente aparentemente inofensiva que instruye al destinatario a descargar una actualización para Adobe Acrobat Reader DC.
El propósito principal de la imagen es dar a los usuarios la impresión de que es necesario instalar la actualización para acceder al contenido del documento. Al hacer clic en el botón "Descargar e instalar" en el falso cuadro de diálogo de actualización, se activa la descarga de un archivo de imagen ISO solo cuando las solicitudes se originan desde direcciones IP ubicadas en India y la cadena de User-Agent corresponde a Windows.
Estas verificaciones del lado del servidor evitan que las herramientas automatizadas de análisis de URL obtengan el archivo ISO, asegurando que el archivo malicioso solo se entregue a los objetivos previstos, según Zscaler.
La carga útil maliciosa incrustada dentro de la imagen ISO es un descargador basado en Golang llamado GOGITTER, responsable de crear un archivo de Visual Basic Script (VBScript) si aún no existe en las siguientes ubicaciones: "C:\Users\Public\Downloads", "C:\Users\Public\Pictures" y "%APPDATA%". El script está diseñado para obtener comandos VBScript cada 30 segundos desde dos servidores C2 preconfigurados.
GOGITTER también establece persistencia mediante una tarea programada configurada para ejecutar el archivo VBScript mencionado cada 50 minutos. Además, verifica la presencia de otro archivo llamado "adobe_update.zip" en las mismas tres carpetas. Si el archivo ZIP no está presente, obtiene el archivo de un repositorio privado de GitHub ("github[.]com/jaishankai/sockv6"). La cuenta de GitHub fue creada el 7 de junio de 2025.
Una vez que la descarga es exitosa, la cadena de ataque envía una solicitud HTTP GET al dominio "adobe-acrobat[.]in" probablemente para señalar a los actores de amenazas que el endpoint ha sido infectado. Luego, GOGITTER extrae y ejecuta "edgehost.exe" del archivo ZIP. Un backdoor ligero basado en Golang, GITSHELLPAD, aprovecha repositorios privados de GitHub controlados por el actor de amenazas para C2.
Específicamente, consulta el servidor C2 cada 15 segundos mediante una solicitud GET para acceder al contenido de un archivo llamado "command.txt". Admite seis comandos diferentes: cd .., para cambiar al directorio padre; cd, para cambiar al directorio especificado; run, para ejecutar un comando en segundo plano sin capturar la salida; upload, para subir un archivo local al repositorio de GitHub; download, para descargar un archivo a la ruta especificada; y un caso predeterminado, para ejecutar un comando usando cmd /c y capturar la salida.
Los resultados de la ejecución del comando se almacenan en un archivo llamado "result.txt" y se suben a la cuenta de GitHub mediante una solicitud HTTP PUT. Luego, el archivo "command.txt" se elimina del repositorio de GitHub una vez que el comando se ejecuta exitosamente.
Zscaler observó que el actor de amenazas también descargaba archivos RAR usando comandos cURL después de obtener acceso a la máquina de la víctima. Los archivos incluyen utilidades para recopilar información del sistema y dejar caer GOSHELL, un cargador personalizado basado en Golang utilizado para entregar Cobalt Strike Beacon después de múltiples rondas de decodificación. Las herramientas se eliminan de la máquina después de su uso.
El tamaño de GOSHELL se infló artificialmente a aproximadamente 1 gigabyte agregando bytes basura a la superposición del ejecutable portátil (PE), probablemente para evadir la detección por software antivirus, según la compañía de ciberseguridad. GOSHELL solo se ejecuta en nombres de host específicos al comparar el nombre de host de la víctima con una lista codificada.
Sheet Attack utiliza Google Sheets, Firebase y Microsoft Graph API para C2
En un análisis de seguimiento, Zscaler ThreatLabz detalló la campaña Sheet Attack, destacando el uso de tres nuevos backdoors denominados SHEETCREEP, FIREPOWER y MAILCREEP, junto con un recolector de documentos basado en PowerShell para exfiltrar archivos. Una breve descripción de su funcionalidad es la siguiente:
- SHEETCREEP, un backdoor ligero escrito en C# que usa Google Sheets para C2 para ejecutar comandos usando "cmd.exe"
- FIREPOWER, un backdoor basado en PowerShell que abusa de Firebase Realtime Database de Google para C2 para ejecutar comandos y descargar archivos
- MAILCREEP, un backdoor basado en Golang que aprovecha la API de Microsoft Graph para C2 y manipular correos
La campaña Sheet Attack aprovechó PDFs para desplegar backdoors ligeros que utilizaban múltiples canales C2 que abusaban de servicios legítimos en la nube de Google y Microsoft, permitiendo que el tráfico de red se mezclara y evadiera los controles de seguridad, según los investigadores.
Al igual que en el caso de Gopher Strike, la cadena de ataque utiliza una verificación de geocerca que emplea la cadena "User-Agent" para asegurar que el archivo ZIP malicioso se distribuya solo a usuarios de Windows en India. Dentro del archivo se encuentra un acceso directo de Windows (LNK) que se hace pasar por un documento para desencadenar la infección. El archivo LNK, una vez ejecutado, es responsable de desplegar el backdoor SHEETCREEP.
El canal C2 de Google Sheet, por su parte, ha sido encontrado sirviendo comandos repetidos, en algunos casos con errores tipográficos (por ejemplo, "whaomi" y "whomai" en lugar de "whoami"), lo que sugiere la posibilidad de actividad manual de un operador. Sin embargo, campañas recientes de Sheet Attack han pasado de SHEETCREEP a usar archivos LNK maliciosos para distribuir FIREPOWER, que también sirve como conducto para un recolector de documentos basado en PowerShell y MAILCREEP para objetivos selectos.
Un análisis adicional del código fuente de SHEETCREEP y FIREPOWER ha revelado la presencia de emojis dentro de su lógica de manejo de errores y comentarios detallados, respectivamente, sugiriendo el uso de herramientas de inteligencia artificial generativa para el desarrollo de malware.
Si bien ambas campañas comparten TTPs con APT36, su operación concurrente junto con la actividad tradicional de APT36, el uso de nuevas herramientas y la posible IA generativa en el desarrollo de malware sugieren una evolución de APT36 o la aparición de un grupo estrechamente alineado, concluyó Zscaler.
La historia fue actualizada después de su publicación el 10 de febrero de 2026 para incluir detalles de la campaña Sheet Attack.
