TAG-140, связанная с группировкой SideCopy (кластер Transparent Tribe), действует с 2019 года. Цели — индийские госструктуры, оборона, железные дороги, нефтегазовый сектор. В мае 2025 года злоумышленники использовали поддельный портал пресс-релизов Минобороны Индии для распространения трояна DRAT V2. Жертвы копировали вредоносную команду в буфер обмена, активируя цепочку: загрузка HTA-файла с
APT36 (Transparent Tribe) активизировалась в мае 2025 года на фоне конфликта Индии и Пакистана. Целями стали оборона, IT, здравоохранение и телеком. Фишинговые письма с вложениями «PDF» (фактически —
Confucius, действующий с 2013 года, фокусируется на госструктурах Южной и Восточной Азии. В недавних атаках применялись WooperStealer и бэкдор Anondoor. Последний, написанный на C, выполняет команды, делает скриншоты, извлекает пароли из Chrome. Для уклонения от песочниц использует динамический вызов методов. Группа эволюционировала от единого трояна к модульным инструментам. Источник: KnownSec 404 Team.
Ключевые изменения: TAG-140 перешла с Unicode на гибрид ASCII/Unicode в DRAT V2. APT36 впервые атаковала Linux через DISGOMOJI. Группы намеренно усложняют атрибуцию: TAG-140 ротирует RAT-ы, APT36 использует псевдонимы (APT-C-56, Mythic Leopard). Всплеск активности APT36 в мае 2025 года совпал с обострением индийско-пакистанских отношений.
trade4wealth[.]in, запуск через mshta.exe, внедрение загрузчика BroaderAspect. Он устанавливал DRAT V2, скрывая C2-серверы в Base64. Троян выполняет shell-команды, крадет данные и обеспечивает постоянный контроль. Группа чередует RAT-ы (Action RAT, AllaKore RAT, Ares RAT и другие), усложняя расследования. Источник: Recorded Future's Insikt Group. Изображение носит иллюстративный характер
APT36 (Transparent Tribe) активизировалась в мае 2025 года на фоне конфликта Индии и Пакистана. Целями стали оборона, IT, здравоохранение и телеком. Фишинговые письма с вложениями «PDF» (фактически —
.pdf.exe) имитировали заказы Национального центра информатики (NIC). Запускался Ares RAT с антиотладочными функциями: перехват клавиатуры, кража учетных данных. Параллельно распространялся DISGOMOJI — Go-троян для ОС BOSS Linux. Он доставлялся через ZIP-архивы, использовал Google Cloud для C2, воровал браузерные данные. Угроза: шпионаж и саботаж инфраструктуры. Данные подтверждены Seqrite Labs, CYFIRMA. Confucius, действующий с 2013 года, фокусируется на госструктурах Южной и Восточной Азии. В недавних атаках применялись WooperStealer и бэкдор Anondoor. Последний, написанный на C, выполняет команды, делает скриншоты, извлекает пароли из Chrome. Для уклонения от песочниц использует динамический вызов методов. Группа эволюционировала от единого трояна к модульным инструментам. Источник: KnownSec 404 Team.
Ключевые изменения: TAG-140 перешла с Unicode на гибрид ASCII/Unicode в DRAT V2. APT36 впервые атаковала Linux через DISGOMOJI. Группы намеренно усложняют атрибуцию: TAG-140 ротирует RAT-ы, APT36 использует псевдонимы (APT-C-56, Mythic Leopard). Всплеск активности APT36 в мае 2025 года совпал с обострением индийско-пакистанских отношений.
