Почему обновленные тактики Transparent Tribe и Patchwork угрожают кибербезопасности в 2025 году?

Группировка Transparent Tribe, также известная как APT36, продолжает оставаться значимой угрозой в сфере кибершпионажа, действуя как минимум с 2013 года. Согласно техническому отчету CYFIRMA, данный актор, предположительно индийского происхождения, нацелен на сбор разведданных у государственных структур, образовательных учреждений и стратегических объектов Индии. В арсенале злоумышленников находятся такие известные инструменты удаленного доступа (RAT), как CapraRAT, Crimson RAT, ElizaRAT и DeskRAT. Недавняя активность группировки демонстрирует значительное усложнение методов доставки вредоносного ПО и обхода средств защиты.

В рамках одной из кампаний, использующей RAT с библиотекой iinneldc.dll, хакеры применяют целевой фишинг. Жертвы получают ZIP-архив с вредоносным LNK-файлом, который маскируется под легитимный PDF-документ и открывает отвлекающий файл для снижения подозрительности. Механизм выполнения включает запуск утилиты mshta.exe, выполнение удаленного HTML-приложения (HTA) и последующую дешифровку полезной нагрузки непосредственно в память. Для профилирования среды и манипуляций в реальном времени используются объекты ActiveX (WScript.Shell), что позволяет атакующим скрытно закрепиться в системе.

Особого внимания заслуживает логика уклонения от антивирусов и обеспечения персистентности, которая адаптируется под установленное защитное ПО. При обнаружении Kaspersky вредонос создает рабочую директорию C:\Users\Public\core\, записывает обфусцированный HTA-пейлоад и помещает LNK-файл в папку автозагрузки Windows. В случае с Quick Heal создается пакетный файл (batch file) и вредоносный ярлык в автозагрузке. Если обнаружены Avast, AVG или Avira, пейлоад просто копируется в директорию автозагрузки. При отсутствии антивируса используется комбинация пакетных файлов и модификации реестра. Функционал RAT включает полный удаленный контроль, управление файлами, эксфильтрацию данных, создание скриншотов и работу с буфером обмена.

Другая кампания Transparent Tribe, связанная с атаками последних недель, эксплуатирует тему уведомлений от Национальной группы реагирования на киберпреступления Пакистана (PKCERT). В качестве приманки используется легитимный документ 2024 года, предупреждающий о мошеннических сообщениях в WhatsApp с вредоносными файлами WinRAR. Атака начинается с файла NCERT-Whatsapp-Advisory.pdf.lnk, который через cmd.exe запускает обфусцированные команды для загрузки MSI-инсталлятора nikmights.msi с сервера aeroclubofindia.co[.]in.

Техническая реализация этой атаки включает использование.NET-загрузчика, который извлекает DLL-библиотеки pdf.dll и wininet.dll в папку C:\ProgramData\PcDirvs. Исполняемый файл PcDirvs.exe запускается с десятисекундной задержкой, а персистентность обеспечивается скриптом PcDirvs.hta, модифицирующим реестр. Командный центр (C2) располагается на домене dns.wmiprovider[.]com, зарегистрированном в середине апреля 2025 года. Коммуникация осуществляется через wininet.dll с использованием HTTP GET-запросов, где конечные точки инвертированы для обхода детектирования (например, /dnammocmvitna вместо antivmcommand).

Параллельно с этим активизировался вторичный актор угрозы — Patchwork, также известный как Dropping Elephant и Maha Grass. Исследователи безопасности, включая Идана Тараба, QiAnXin и 360 Threat Intelligence Center, связывают эту группу с Индией и указывают на ее нацеленность на оборонный сектор Пакистана. В одной из кампаний Patchwork использует фишинговые письма с ZIP-архивами, содержащими проект MSBuild, выполняемый через легитимную утилиту msbuild.exe. Бэкдор, написанный на Python и упакованный с помощью PyInstaller, обладает функциями геофенсинга и рандомизации PHP-эндпоинтов C2.

По состоянию на декабрь 2025 года Patchwork связывают с использованием трояна StreamSpy. Распространение происходит через архив OPS-VII-SIR.zip, размещенный на домене firebasescloudemail[.]com, а основным исполняемым файлом является Annexure.exe. StreamSpy использует протокол WebSocket для получения инструкций, что позволяет обходить HTTP-цензуру, и обычный HTTP для передачи файлов. Персистентность достигается через реестр Windows, планировщик задач или папку автозагрузки.

Троян StreamSpy поддерживает широкий спектр команд для полного контроля над зараженной системой. Команды включают F1A5C3 для загрузки и открытия файлов, B8C1D2 и E4F5A6 для переключения оболочки на cmd или PowerShell соответственно, и FL_SH1 для закрытия всех оболочек. Для работы с данными предусмотрены команды C9E3D4, E7F8A9, H1K4R8 и C0V3RT (загрузка и распаковка зашифрованных архивов), а также F2B3C4 для сбора информации о дисках. Операции с файловой системой управляются кодами D5E6F7, A8B9C0, D1E2F3, A4B5C6 и D7E8F9, позволяющими переименовывать, удалять и перечислять файлы.

Анализ инфраструктуры выявил пересечения между различными группировками. Сайт загрузки StreamSpy также хостит варианты бэкдора Spyder, который приписывается группе SideWinder и используется Patchwork с 2023 года. Более того, цифровая подпись файла Annexure.exe коррелирует с ShadowAgent — инструментом, который в ноябре 2025 года был атрибутирован 360 Threat Intelligence Center группе DoNot Team (Brainworm). Эти факты указывают на вероятный обмен ресурсами и инструментарием между группировками Maha Grass (Patchwork) и DoNot Team.

Источник: Ravie Lakshmanan