印度APT组织Bitter揭秘：苦心经营八年的网络间谍

当地时间6月4日，网络安全公司Proofpoint与Threatray联合发布的报告揭露了印度背景的APT组织TA397（Bitter） 长达八年的全球间谍活动。

报告第一部分聚焦攻击链。目标定位：主要针对南亚及欧洲与中国/巴基斯坦相关的政府、外交和国防实体（如土耳其国防部门、中国驻欧机构），通过伪造马达加斯加/毛里求斯使馆邮件渗透。攻击手法：依赖鱼叉邮件投递RAR封装恶意附件（CHM/MSC/LNK），利用计划任务（Task Scheduler）建立持久化信标，通过PHP URL传递受害者主机名/用户名，并依赖Let's Encrypt证书伪装流量。基础设施特征：122个C2域名注册、DNS记录和证书签发时间均匹配印度标准时区（IST）的工作时间，暴露国家背景。

第二部分（Threatray） 则详细解析其武器库演进。恶意软件谱系：从基础下载器（ArtraDownloader/MuuyDownloader）发展为多功能RAT（BDarkRAT/MiyaRAT），采用简单反分析手段（字符加减混淆），近年新增截图、文件窃取（KiwiStealer）能力。开发模式：跨家族共享代码逻辑（如系统信息收集、AES加密），工具迭代体现"够用即可"策略，避免零日漏洞。归因关键：基础设施时区分析、工具链与Mysterious Elephant等已知印度组织的重叠（如ORPCBackdoor），证实其为印度政府支持的间谍组织。

报告结论认为，Bitter以低技术高频率攻击，配合手动筛选目标，高效服务印度情报需求。

Bitter（TA397）组织定性

基于基础设施时区分析、工具链关联及攻击目标一致性，综合定性Bitter组织的国家背景与战略意图。

印度政府支持的确凿证据：122个C2域名注册/证书签发时间热力图完全匹配IST工作时间（9:00-17:00），WHOIS显示周五集中注册多域名。武器库与Mysterious Elephant（APT-K-47）共享ORPCBackdoor后门，形成印度国家黑客工具生态。

战略间谍任务导向：长期（2016-2025）锁定中国外交/国防机构（如北京外交机构）、巴基斯坦及南亚邻国（孟加拉国、尼泊尔）。

窃取核心情报包括：孟加拉国军方手写战略文件、政府税务档案。

组织伪装能力：深度伪造多国政府机构（毛里求斯使馆、韩国外交部），诱饵涉及真实外交事件（如"2024年韩国戒严咨询"）。

Proofpoint明确结论："TA397极可能受印度情报机构指挥，为政府收集战略情报"。

主要攻击特点

梳理Bitter高度标准化的四阶段攻击链，突出其"低技术高频次+手动精准投放"双模式。

初始渗透（鱼叉邮件）：伪造政府主题（如"国防重点科研项目"），附件使用RAR封装CHM/MSC文件（2024年新增MSC滥用CVE-2024-43572）。

执行持久化（计划任务核心）：每16-19分钟信标：通过conhost.exe隐藏PowerShell进程，请求含主机名/用户名的PHP URL（如jbc.php?fv=COMPUTER*USER）。

手动介入筛选：操作员IST工作时间响应信标，对高价值目标投放RAT（如Havoc C2），失败时切换SMB共享（\172.18.215.1tempy）。

数据渗出（轻量化）：KiwiStealer仅窃取50MB内近期修改的敏感文档（.docx/.xlsx/.ovpn），通过HTTP POST上传。

反溯源手段：使用Let's Encrypt证书（90天有效期）和临时域名，被动DNS留存少于72小时。

主要武器

归纳Bitter武器库"渐进迭代、够用即可"的开发哲学，揭示跨家族代码复用特征。

下载器（基础载荷）：ArtraDownloader（2016）：HTTP发送系统信息（用户名+主机名），部署键盘记录器。MuuyDownloader（2021）：升级Base64编码，投递BDarkRAT。

RAT（核心控制）：BDarkRAT（.NET）：克隆开源DarkAgentRAT，支持文件管理/屏幕截图。C2地址硬编码或AES加密（2024版密钥596381）。MiyaRAT（C++）：用于高价值目标，v5.0（2025）混淆命令字符（如"GDIR"→"G883"）。

辅助工具：KiwiStealer（2024）：定向窃取12类文档扩展名，写入C:ProgramDatawinlist.log。KugelBlitz加载器：执行Havoc C2的Demon代理。

共性技术：跨家族共享字符加减混淆算法（如MuuyDownloader变体）。

典型攻击案例

1、2024年12月伪装毛里求斯使馆，向欧洲中国关联实体发送"大使馆照会"邮件，RAR附件含CHM文件，触发计划任务投放BDarkRAT。

2、2024年12月窃取孟加拉国海军联合演习文件，手稿内容涉及印度洋战略部署。

防护建议

基于Bitter"依赖合法工具+固定TTP"特点，提出可落地的纵深防御方案。

邮件网关强化：拦截含RAR封装CHM/MSC的邮件，标记仿冒使馆发件域（如[email protected]））。

端点行为监控：告警规则：schtasks /create联合conhost.exe调用，或每16分钟PHP请求。

网络层防御：阻断含*.php?*COMPUTER*USER*模式的URL，解密SSL检查Let's Encrypt证书的IST注册时间。

威胁情报应用：部署Threatray开源YARA规则检测BDarkRAT初始化功能，外交机构共享南亚主题诱饵词库（如"戒严咨询"）。

核心原则：Bitter规避复杂技术，需聚焦协议异常检测（高频计划任务）与人员意识培训（识别地缘政治诱饵）。

【闲话简评】

印度一向以“网络强国”自诩，在印巴冲突中也常高调展示网络能力，却在“Bitter”组织运作上保持罕见低调。该组织长期针对中国和巴基斯坦等政府与国防机构，通过伪装外交邮箱、定制化RAT等手段，实施隐蔽网络钓鱼和数据窃取。与印度公开宣扬网络战力的喧嚣形成鲜明对比，“Bitter”在印度标准时间的活动轨迹与其情报利益高度吻合，暗示该组织受国家支持，却避开曝光。这种表面低调、实则野心勃勃的行径，显示印度在数字地缘竞争中步步为营，意在构建区域乃至全球间谍网络，其战略意图不容小觑。

参考资源

1、https://www.proofpoint.com/us/blog/threat-insight/bitter-end-unraveling-eight-years-espionage-antics-part-one

2、https://www.threatray.com/blog/the-bitter-end-unraveling-eight-years-of-espionage-antics-part-two

原文始发于微信公众号（网空闲话plus）：印度APT组织Bitter揭秘：苦心经营八年的网络间谍