巴基斯坦APT组织利用 CurlBack RAT 和 Spark RAT 针对印度目标

一个与巴基斯坦有联系的威胁组织利用各种远程访问木马（如 Xeno RAT、Spark RAT 以及之前未记录的恶意软件家族CurlBack RAT）瞄准印度多个行业。

印度网络安全厂商SEQRITE 于 2024 年 12 月检测到的此次活动针对印度铁路、石油和天然气以及外交部下属实体，这标志着黑客团队的目标范围已扩展到政府、国防、海事部门和大学之外。

安全研究员 Sathwik Ram Prakki表示：“最近的活动中的一个显著转变是从使用 HTML 应用程序 (HTA) 文件转变为采用 Microsoft 安装程序 (MSI) 包作为主要登台机制。”

SideCopy被怀疑是Transparent Tribe（又名 APT36）内的一个子集群，至少自 2019 年起就一直活跃。它之所以如此命名，是因为它模仿了与另一个名为SideWinder的APT组织相关的攻击链来传递有效载荷。

2024年6月，SEQRITE强调了SideCopy 使用混淆的 HTA 文件，利用了此前在 SideWinder 攻击中观察到的一种技术。此外，这些文件还包含指向已识别为 SideWinder 使用的 RTF 文件的 URL 的引用。

攻击最终部署了Action RAT和ReverseRAT（两个已知的恶意软件家族，归因于 SideCopy），以及其他几个有效载荷，包括用于窃取文档和图像的 Cheex、用于从连接驱动器窃取数据的 USB 复印机，以及能够执行从远程服务器发送的 30 条命令的基于 .NET 的 Geta RAT。

该 RAT 可以窃取 Firefox 和基于 Chromium 的浏览器的所有帐户、配置文件和 cookie 数据，这是从 AsyncRAT 借用的功能。

SEQRITE 当时指出：“APT36 的重点主要是 Linux 系统，而 SideCopy 则瞄准 Windows 系统，为其武器库添加了新的有效载荷。”

最新发现表明，该黑客组织日益成熟，逐渐壮大，并利用基于电子邮件的网络钓鱼作为恶意软件的传播媒介。这些电子邮件包含各种诱饵文件，从铁路工作人员的假期清单到印度斯坦石油有限公司（HPCL）发布的网络安全指南。

其中一个活动集群尤其值得注意，因为它能够同时针对 Windows 和 Linux 系统，最终导致部署称为Spark RAT的跨平台远程访问木马和代号为 CurlBack RAT 的新型基于 Windows 的恶意软件，后者可以收集系统信息、从主机下载文件、执行任意命令、提升权限和列出用户帐户。

已经观察到第二个集群使用诱饵文件来启动多步骤感染过程，该过程会释放Xeno RAT的自定义版本，其中包含基本的字符串操作方法。

该公司表示：“该组织已从使用 HTA 文件转向使用 MSI 包作为主要登台机制，并继续采用 DLL 侧载、反射加载和通过 PowerShell 进行 AES 解密等先进技术。”

此外，他们还利用定制的开源工具，例如 Xeno RAT 和 Spark RAT，并部署了新发现的 CurlBack RAT。受感染的域名和虚假网站被用于凭证钓鱼和有效载荷托管。

技术报告：

https://www.seqrite.com/blog/umbrella-of-pakistani-threats-converging-tactics-of-cyber-operations-targeting-india/

新闻链接：

https://thehackernews.com/2025/04/pakistan-linked-hackers-expand-targets.html