APT36 与 SideCopy 对印度实体发起跨平台 RAT 攻击活动

印度国防部门及与政府关联的组织已成为多场攻击活动的目标，这些活动旨在利用能够窃取敏感数据并保持对受感染机器持续访问的远程访问木马，侵入 Windows 和 Linux 环境。

这些活动的特征是使用 Geta RAT、Ares RAT 和 DeskRAT 等恶意软件家族，通常归因于与巴基斯坦关联的威胁集群 SideCopy 与 APT36（亦称 Transparent Tribe）。SideCopy 自 2019 年起活跃，被认为是 Transparent Tribe 的子部门。

综合来看，这些活动强化了一种熟悉却在演变的叙事，Aryaka 安全工程与 AI 战略副总裁 Aditya K. Sood 说。"Transparent Tribe 与 SideCopy 并未重新发明间谍行为——他们只是在不断完善它。"

通过扩大跨平台覆盖、采用内存驻留技术并尝试新的投送向量，该生态系统在保持战略焦点的同时，仍能在低噪声水平下持续运作。

所有活动的共同点是使用包含恶意附件或嵌入下载链接的钓鱼邮件，将潜在目标引导至攻击者控制的基础设施。这些初始访问手段充当 Windows 快捷方式（LNK）、ELF 二进制文件和 PowerPoint 加载项文件的载体，打开后会启动多阶段流程以投放木马。

这些恶意软件家族旨在提供持久的远程访问、实现系统侦察、收集数据、执行命令，并在 Windows 与 Linux 环境中支持长期的后渗透操作。

其中一种攻击链如下：恶意 LNK 文件调用 mshta.exe 执行托管在被劫持的合法域名上的 HTML 应用程序（HTA）文件。该 HTA 负载包含 JavaScript，用于解密嵌入的 DLL 负载，随后处理嵌入的数据块，在磁盘上写入诱饵 PDF，连接硬编码的指挥控制（C2）服务器，并显示保存的诱饵文件。

诱饵文档展示后，恶意软件会检测已安装的安全产品，并相应调整持久化方式，然后在受感染主机上部署 Geta RAT。值得注意的是，这一攻击链已于 2025 年 12 月底由 CYFIRMA 与 Seqrite Labs 研究员 Sathwik Ram Prakki 详细披露。

Geta RAT 支持多种指令，可收集系统信息、枚举运行进程、终止指定进程、列出已安装应用、获取凭证、读取并替换剪贴板内容为攻击者提供的数据、截取屏幕、执行文件操作、运行任意 shell 命令，以及从已连接的 USB 设备中收集数据。

与此针对 Windows 的活动并行的是一个 Linux 变体，它使用 Go 二进制文件作为起点，通过从外部服务器下载的 shell 脚本投放基于 Python 的 Ares RAT。与 Geta RAT 类似，Ares RAT 也能执行多种指令以收集敏感数据，并运行威胁行为者下发的 Python 脚本或命令。

Aryaka 还指出，另一场活动中，Golang 恶意软件 DeskRAT 通过恶意 PowerPoint 加载项文件投放，该加载项运行嵌入宏以建立与远程服务器的出站通信并获取恶意软件。APT36 使用 DeskRAT 的情况已于 2025 年 10 月由 Sekoia 与 QiAnXin XLab 记录。

公司表示，这些活动展示了资源充足、专注间谍的威胁行为者，故意通过国防主题的诱饵、冒充官方文件以及地区可信基础设施，针对印度的国防、政府和战略部门。其活动范围已超出国防，涉及政策、科研、关键基础设施以及与国防相关的组织，均在同一可信生态系统中运作。

DeskRAT 与 Geta RAT、Ares RAT 的部署凸显了一个不断演进的工具箱，旨在实现隐蔽性、持久性和长期访问。