Pakistan dışında bağları olan bir hack grubu, Hint hükümet kuruluşlarını DRAT adı verilen bir uzaktan erişim Trojan’ın (Sıçan) değiştirilmiş bir varyantıyla hedefleyen bulundu.
Etkinlik, kaydedilen Future’ın Insikt grubu tarafından, şeffaf kabile içinde operasyonel bir alt küme olduğu değerlendirilen bir düşmanca kolektif olan sepet-140 olarak izlenen bir tehdit aktörüne atfedildi (AKA AKP-C-56, APT36, DateBug, Earth Karkaddan, mitik lehim, operasyon).
MasterCard’a ait şirket, geçen ay yayınlanan bir analizde, “TAG-140, kötü amaçlı yazılım cephaneliği ve teslimat tekniklerinde sürekli olarak yinelemeli ilerleme ve çeşitlilik gösterdi.” Dedi.
“Klonlanmış bir basın bülteni portalı aracılığıyla Hindistan Savunma Bakanlığı’nı sahte olan bu son kampanya, hem kötü amaçlı yazılım mimarisinde hem de komuta ve kontrol (C2) işlevinde hafif ama dikkate değer bir değişime işaret ediyor.”
DRAT V2 olarak adlandırılan DRAT’ın güncellenmiş versiyonu, Sepet Sıçan Arsenal’in en son eklenmesidir, bu da Windows ve Linux sistemlerini enfekte etmek için Action Rat, Allakore Rat, Ares Rat, Curlback Rat, Reperserat, Spark Rat ve Xeno Rat gibi diğer araçları da içeren en son ektir.
Saldırı etkinliği, düşmanların gelişen oyun kitabını gösterir ve atıf, tespit ve izleme çabalarını karmaşıklaştırmak için hassas verileri hasat etmek için sıçan kötü amaçlı yazılımların “değiştirilebilir bir süitine” rafine etme ve çeşitlendirme yeteneğini vurgular.
Tehdit oyuncusu tarafından düzenlenen saldırılar, hedefleme odağını, ülkenin demiryolu, petrol ve gaz ve dış iş bakanlıklarına bağlı kuruluşları kapsayacak şekilde hükümet, savunma, denizcilik ve akademik sektörlerin ötesinde genişletti. Grubun en az 2019’dan beri aktif olduğu bilinmektedir.
Kaydedilen Gelecek tarafından belgelenen enfeksiyon dizisi, Hindistan Savunma Bakanlığı’nın resmi basın bülteni portalını, DRAT’ın .NET tabanlı bir versiyonunu yeni bir Delphi-derleme varyantına bırakmak için tıkayan tıklama tarzı bir yaklaşımdan yararlanıyor.
Sahte web sitesinde, tıklandığında, kötü niyetli bir komutu makinenin panosuna gizlice kopyalayan ve kurbanı bir komut kabuğu başlatarak yapıştırmaya ve yürütmeye çağıran bir enfeksiyon dizisi başlatan bir aktif bağlantıya sahiptir.
Bu, harici bir sunucudan bir HTML uygulaması (HTA) dosyasının alınmasına neden olur (“Trade4Wealth[.]”), daha sonra MSHTA.EXE tarafından Broaderaspect adlı bir yükleyici başlatmak için yürütülür. Yükleyici, bir tuzak PDF’yi indirmek ve başlatmaktan, Windows kayıt defteri değişiklikleri yoluyla kalıcılığı ayarlamaktan ve aynı sunucudan DRAT V2’yi indirmek ve çalışmaktan sorumludur.
DRAT V2, rasgele kabuk komutu yürütme için yeni bir komut ekleyerek, sömürü sonrası esnekliğini artırır. Ayrıca C2 IP adreslerini Base64 kodlama kullanarak gizler ve hem ASCII hem de Unicode’daki komut girişlerini desteklemek için özel sunucu tarafından başlatılan TCP protokolünü günceller. Ancak, sunucu yalnızca ASCII’de yanıt verir. Orijinal DRAT, hem giriş hem de çıkış için Unicode gerektirir.
Future, “Selefi ile karşılaştırıldığında, DRAT V2, çoğu komut başlıklarını düz metinlerde tutarak, muhtemelen gizlilik üzerinde ayrıştırma güvenilirliğine öncelik vererek String gizlemesini azaltır.” Dedi. “DRAT V2, gelişmiş anti-analiz tekniklerinden yoksundur ve temel enfeksiyon ve kalıcılık yöntemlerine dayanır, bu da statik ve davranışsal analiz yoluyla tespit edilebilir hale gelir.”
Bilinen diğer yetenekler, keşif yapmak, ek yüklerin yüklenmesi ve verilerin eklenmesi de dahil olmak üzere, tehlikeye atılan ana bilgisayarlarda çok çeşitli eylemler gerçekleştirmesine izin verir.
Şirket, “Bu işlevler, TAG-140’a enfekte olmuş sistem üzerinde kalıcı, esnek kontrol sağlıyor ve yardımcı kötü amaçlı yazılım araçlarının dağıtılmasını gerektirmeden hem otomatik hem de etkileşimli sömürme sonrası etkinliğe izin veriyor.” Dedi.
“DRAT V2, kesin bir evrim yerine başka bir modüler ek olarak görünmektedir, bu da TAG-140’ın imzaları gizlemek ve operasyonel esnekliği korumak için kampanyalar arasında sıçanları döndürme olasılığını güçlendirir.”
APT36 Kampanyalar Ares Rat ve Disgomoji Teslim Et
Devlet destekli tehdit faaliyeti ve Pakistan’dan koordine edilmiş hacktivist operasyonlar, Mayıs 2025’teki Hindistan-Pakistan çatışması sırasında alevlendi ve APT36, savunma, hükümet, BT, sağlık, eğitim ve telekom sektörlerini hedefleyen saldırılarda ARES sıçanını dağıtmak için etkinliklerden yararlandı.
Seqrite laboratuvarları Mayıs 2025’te, “ARES Rat gibi araçların konuşlandırılmasıyla, saldırganlar enfekte sistemlere tam bir uzaktan erişim sağladı – gözetim, veri hırsızlığı ve kritik hizmetlerin potansiyel sabotajının kapısını açtı.”
Son APT36 kampanyalarının, Hint Savunma Personelini hedeflemek için kötü niyetli PDF ekleri içeren özenle hazırlanmış kimlik avı e -postalarını yaydığı bulunmuştur.
Ulusal Bilişim Merkezi’nden (NIC) satın alma siparişleri olarak maskelenir ve alıcıları PDF belgelerine gömülü bir düğmeyi tıklamaya ikna eder. Bunu yapmak, Windows kullanıcıları için meşru görünmesi için bir PDF simgesini aldatıcı bir şekilde görüntüleyen ve çift uzantı biçimini (yani *.pdf.exe) kullanan bir yürütülebilir dosyanın indirilmesiyle sonuçlanır.
Sidestep analizi için anti-geliştirme ve anti-VM özelliklerine sahip ikili, bellekte dosyaları numaralandırabilen, tuş vuruşlarını günlük tutabilen, pano içeriğini yakalayabilen, tarayıcı kimlik bilgileri elde edebilen ve veri açığa çıkma ve uzaktan erişim için bir C2 sunucusuna başvurabilen bir sonraki aşamada bir yük başlatmak için tasarlanmıştır.
Cyfirma, “APT36, özellikle Hindistan savunma altyapısını hedefleyen ulusal güvenlik için önemli ve devam eden bir siber tehdit oluşturuyor.” Dedi. “Grubun gelişmiş kimlik avı taktikleri ve kimlik bilgisi hırsızlığı kullanımı, modern siber casusluğun gelişen sofistike olmasını örneklendiriyor.”
360 Tehdit İstihbarat Merkezi tarafından detaylandırılan bir başka kampanya, kimlik avı saldırıları yoluyla dağıtılan bubi tuzaklı zip dosyalarının bir parçası olarak Disgomoji olarak adlandırılan yeni bir GO tabanlı kötü amaçlı yazılım varyantından yararlandı. Pekin merkezli siber güvenlik şirketi olan kötü amaçlı yazılım, Golang’da yazılmış ELF yürütülebilir bir programdır ve C2 için Google Cloud’u kullanıyor ve anlaşmazlıktan bir değişim işaret ediyor.
“Ayrıca, daha fazla hırsızlık operasyonları ve uzaktan kumanda elde etmek için tarayıcı hırsızlığı eklentileri ve uzaktan yönetim araçları indirilecek.” Dedi. “Disgomoji varyantını indirme işlevi daha önce bulunan yüke benzer, ancak önceki Disgomoji Discord sunucusunu kullandı, bu sefer iletişim için Google Cloud hizmetini kullandı.”
Konfüçyüs Woopersteer ve Anondoor Drop
Bulgular, Konfüçyüs olarak bilinen siber casusluk aktörü, Wooperstealer ve daha önce belgelenmemiş bir modüler arka kapı anonor adı verilen bir bilgi stealer’ı konuşlandıran yeni bir kampanyayla bağlantılı olarak geliyor.
Konfüçyüs, Hindistan ile uyumlu hedeflerle faaliyet gösteren bir tehdit grubu olarak değerlendiriliyor. Güney Asya ve Doğu Asya’daki hükümet ve askeri birimleri hedefleyen en az 2013’ten beri aktif olduğuna inanılıyor.
Seebug’un Bilinçsec 404 ekibine göre, çok aşamalı saldırılar, DLL yan yükleme tekniklerini kullanarak anondoor sunmak için bir başlangıç noktası olarak Windows kısayolu (LNK) dosyalarını kullanır, ardından sistem bilgilerinin toplandığı ve woopersteer uzak bir sunucudan getirilir.
Arka kapı tam özelliklidir, bir saldırganın komutları yürütebilen, ekran görüntüleri alabilen, dosyaları indirebilen, krom tarayıcıdan şifreleri dökebilecek komutlar yayınlamasını, ayrıca dosyaları ve klasörleri listelemesini sağlar.
Bilensec 404 ekibi, “Modüler bir arka kapıya indirme ve yürütmenin daha önce maruz kalan tek casusluk truva atından gelişti ve nispeten yüksek bir teknolojik yineleme yeteneği gösterdi.” Dedi. “Arka kapı bileşeni bir C# DLL dosyasında kapsüllenir ve belirtilen yöntemi Invoke aracılığıyla yükleyerek kaçınmış sanal alan algılaması.”