В сентябре 2025 года исследователи Zscaler ThreatLabz Судип Сингх и Инь Хун Чанг обнаружили сложные кибератаки, направленные на государственные учреждения Индии. Согласно анализу, за этими операциями стоит группировка, связанная с Пакистаном. Эксперты отмечают сходство тактики с известной группой APT36, однако специалисты Zscaler с уверенностью среднего уровня предполагают, что это может быть новая подгруппа или отдельное формирование, действующее параллельно и использующее ранее не документированные методы шпионажа (tradecraft).
Исследователи выделили две конкретные кампании: Sheet Attack и Gopher Strike. Первая получила свое название из-за использования легитимных сервисов для командно-контрольной инфраструктуры (C2), включая Google Sheets, Firebase и электронную почту. Вторая кампания, Gopher Strike, опирается на фишинговые письма с вложениями в формате PDF. Эти документы содержат размытое изображение, перекрытое поддельным всплывающим окном, которое инструктирует получателя загрузить обновление для Adobe Acrobat Reader DC, чтобы просмотреть содержимое, вынуждая пользователя нажать кнопку «Загрузить и установить».
Техническая цепочка атаки Gopher Strike начинается с доставки полезной нагрузки в виде файла ISO. Злоумышленники внедрили серверные проверки для уклонения от обнаружения: файл ISO загружается только в том случае, если запрос поступает с IP-адресов, расположенных в Индии, а строка User-Agent соответствует операционной системе Windows. Эта мера предосторожности предназначена для предотвращения получения вредоносного файла автоматизированными инструментами анализа URL-адресов.
На этапе первоначального заражения активируется вредоносное ПО под названием GOGITTER, представляющее собой скрипт. Он настраивает запланированную задачу для запуска VBScript-файла каждые 50 минут для обеспечения персистентности и запрашивает команды от двух предварительно настроенных серверов C2 каждые 30 секунд. Скрипт проверяет наличие файла «adobe_update.zip» в трех папках и, если он отсутствует, извлекает архив из частного репозитория на GitHub. После этого программа отправляет HTTP GET-запрос на домен «adobe-acrobat[.]in», распаковывает архив и запускает исполняемый файл «edgehost.exe».
Инфраструктура злоумышленников активно использует платформу GitHub. Репозиторий, задействованный в атаке, расположен по адресу
После закрепления в системе разворачивается бэкдор GITSHELLPAD, написанный на языке Golang. Этот легковесный инструмент также использует контролируемые злоумышленниками частные репозитории GitHub в качестве метода C2. Бэкдор опрашивает сервер каждые 15 секунд с помощью GET-запросов, считывая инструкции из файла «command.txt». Поддерживаются шесть типов команд:
Для пост-эксплуатации злоумышленники используют команды cURL для загрузки RAR-архивов, содержащих утилиты для сбора системной информации и загрузчик GOSHELL. GOSHELL представляет собой кастомный загрузчик на базе Golang, который после нескольких раундов декодирования доставляет в систему Cobalt Strike Beacon. Это позволяет операторам получить полный контроль над зараженной машиной и выполнять дальнейшие действия внутри скомпрометированной сети.
В кампании применяются продвинутые техники уклонения от антивирусов. Размер файлов искусственно увеличивается («раздувается») до приблизительно 1 гигабайта путем добавления мусорных байтов в оверлей PE, что затрудняет их сканирование защитным ПО. Кроме того, вредоносный код проверяет имя хоста жертвы: атака продолжается только в том случае, если имя компьютера совпадает с данными в жестко закодированном списке целей.
В целях операционной безопасности все инструменты удаляются с зараженной машины после их использования. Среди ключевых технических индикаторов, помимо упомянутых доменов и файлов, исследователи отмечают злоупотребление такими сервисами и инструментами, как Google Sheets, Firebase, GitHub, cURL, VBScript и Golang, а также имитацию программного обеспечения Adobe Acrobat Reader DC. Эти данные подчеркивают высокий уровень подготовки и целенаправленный характер операций против индийского госсектора.
Изображение носит иллюстративный характер
Исследователи выделили две конкретные кампании: Sheet Attack и Gopher Strike. Первая получила свое название из-за использования легитимных сервисов для командно-контрольной инфраструктуры (C2), включая Google Sheets, Firebase и электронную почту. Вторая кампания, Gopher Strike, опирается на фишинговые письма с вложениями в формате PDF. Эти документы содержат размытое изображение, перекрытое поддельным всплывающим окном, которое инструктирует получателя загрузить обновление для Adobe Acrobat Reader DC, чтобы просмотреть содержимое, вынуждая пользователя нажать кнопку «Загрузить и установить».
Техническая цепочка атаки Gopher Strike начинается с доставки полезной нагрузки в виде файла ISO. Злоумышленники внедрили серверные проверки для уклонения от обнаружения: файл ISO загружается только в том случае, если запрос поступает с IP-адресов, расположенных в Индии, а строка User-Agent соответствует операционной системе Windows. Эта мера предосторожности предназначена для предотвращения получения вредоносного файла автоматизированными инструментами анализа URL-адресов.
На этапе первоначального заражения активируется вредоносное ПО под названием GOGITTER, представляющее собой скрипт. Он настраивает запланированную задачу для запуска VBScript-файла каждые 50 минут для обеспечения персистентности и запрашивает команды от двух предварительно настроенных серверов C2 каждые 30 секунд. Скрипт проверяет наличие файла «adobe_update.zip» в трех папках и, если он отсутствует, извлекает архив из частного репозитория на GitHub. После этого программа отправляет HTTP GET-запрос на домен «adobe-acrobat[.]in», распаковывает архив и запускает исполняемый файл «edgehost.exe».
Инфраструктура злоумышленников активно использует платформу GitHub. Репозиторий, задействованный в атаке, расположен по адресу
github[.]com/jaishankai/sockv6 и был создан аккаунтом 7 июня 2025 года. Использование легитимной платформы для хостинга вредоносных компонентов позволяет хакерам маскировать свой трафик под обычную активность разработчиков, что усложняет обнаружение угроз системами безопасности. После закрепления в системе разворачивается бэкдор GITSHELLPAD, написанный на языке Golang. Этот легковесный инструмент также использует контролируемые злоумышленниками частные репозитории GitHub в качестве метода C2. Бэкдор опрашивает сервер каждые 15 секунд с помощью GET-запросов, считывая инструкции из файла «command.txt». Поддерживаются шесть типов команд:
cd.. (переход в родительский каталог), cd (переход в указанный путь), run (фоновый запуск без захвата вывода), upload (выгрузка локального файла на GitHub), download (скачивание файла) и default case (выполнение команды через cmd /c с захватом вывода). Результаты сохраняются в «result.txt» и отправляются через HTTP PUT-запрос, после чего файл команд удаляется. Для пост-эксплуатации злоумышленники используют команды cURL для загрузки RAR-архивов, содержащих утилиты для сбора системной информации и загрузчик GOSHELL. GOSHELL представляет собой кастомный загрузчик на базе Golang, который после нескольких раундов декодирования доставляет в систему Cobalt Strike Beacon. Это позволяет операторам получить полный контроль над зараженной машиной и выполнять дальнейшие действия внутри скомпрометированной сети.
В кампании применяются продвинутые техники уклонения от антивирусов. Размер файлов искусственно увеличивается («раздувается») до приблизительно 1 гигабайта путем добавления мусорных байтов в оверлей PE, что затрудняет их сканирование защитным ПО. Кроме того, вредоносный код проверяет имя хоста жертвы: атака продолжается только в том случае, если имя компьютера совпадает с данными в жестко закодированном списке целей.
В целях операционной безопасности все инструменты удаляются с зараженной машины после их использования. Среди ключевых технических индикаторов, помимо упомянутых доменов и файлов, исследователи отмечают злоупотребление такими сервисами и инструментами, как Google Sheets, Firebase, GitHub, cURL, VBScript и Golang, а также имитацию программного обеспечения Adobe Acrobat Reader DC. Эти данные подчеркивают высокий уровень подготовки и целенаправленный характер операций против индийского госсектора.
