The Last 24 Hours | 安全无小事

透明部落对印度政府和学术机构发动新型远程访问木马攻击

2026/1/2 恶意软件 The Hacker News

已确认,被称为透明部落的威胁组织发起了一系列针对印度政府、学术界及战略性实体的攻击,使用远程访问木马(RAT)实现对被感染主机的持续控制。

“该活动采用欺骗性的投放手段,包括伪装成合法 PDF 文档并嵌入完整 PDF 内容的武器化 Windows 快捷方式(LNK)文件,以规避用户怀疑,” CYFIRMA

在一份技术报告中表示。

透明部落(亦称 APT36)是一个以针对印度组织进行网络间谍行动而闻名的黑客组织。经评估其来源于印度,是一个国家支持的对手,活动时间可追溯至 2013 年。

该威胁组织拥有不断进化的 RAT 军火库,以实现其目标。近年来透明部落使用的木马包括 CapraRAT、Crimson RAT、ElizaRAT 和 DeskRAT。

最新一轮攻击以钓鱼邮件为起点,邮件中包含一个 ZIP 压缩包,内有伪装为 PDF 的 LNK 文件。打开该文件会触发使用 mshta.exe 执行的远程 HTML 应用程序(HTA)脚本,该脚本解密并将最终的 RAT 负载直接加载到内存中。同时,HTA 会下载并打开一个诱饵 PDF,以免引起用户怀疑。

“在解码逻辑建立后,HTA 利用 ActiveX 对象,尤其是 WScript.Shell 与 Windows 环境交互,” CYFIRMA 说明。 “此行为展示了环境画像与运行时操控,确保与目标系统兼容并提升执行可靠性,这类利用 mshta.exe 的技巧在恶意软件中屡见不鲜。”

值得注意的是,恶意软件会根据受感染机器上检测到的杀毒软件采取不同的持久化方式:

  • 若检测到 Kaspersky,则在 C:\Users\Public\core\ 创建工作目录,将混淆的 HTA 负载写入磁盘,并在 Windows 启动文件夹放置 LNK 文件,以 mshta.exe 启动该 HTA 脚本实现持久化。
  • 若检测到 Quick Heal,则通过创建批处理文件和恶意 LNK 文件于启动文件夹,实现持久化;批处理脚本会调用写入磁盘的 HTA 负载。
  • 若检测到 Avast、AVG 或 Avira,则直接将负载复制至启动目录并执行。
  • 若未检测到已知杀毒软件,则回退到批处理执行、基于注册表的持久化以及在启动批处理前部署负载的组合方式。

第二个 HTA 文件包含名为 iinneldc.dll 的 DLL,该 DLL 充当功能完整的 RAT,支持远程系统控制、文件管理、数据渗漏、截图、剪贴板操作以及进程控制。

“APT36(透明部落)仍然是一个高度持久且具有战略驱动的网络间谍威胁,持续聚焦于情报收集,目标包括印度政府机构、教育机构及其他具有战略价值的部门,” 该网络安全公司指出。

近期,APT36 还被关联到另一起使用伪装为政府 advisory PDF(NCERT-Whatsapp-Advisory.pdf.lnk)的恶意快捷方式投放的活动,该快捷方式交付一个基于 .NET 的加载器,进而投放额外的可执行文件和恶意 DLL,实现远程命令执行、系统侦察及长期访问。

该快捷方式设计为通过 cmd.exe 执行混淆指令,从远程服务器 aeroclubofindia.co[.]in 获取名为 nikmights.msi 的 MSI 安装包,启动后执行以下动作:

  • 提取并显示诱饵 PDF 给受害者。
  • 解码并写入 DLL 文件至 C:\ProgramData\PcDirvs\pdf.dllC:\ProgramData\PcDirvs\wininet.dll
  • 在同一目录投放 PcDirvs.exe 并在 10 秒后执行。
  • 通过创建包含 Visual Basic 脚本的 PcDirvs.hta,修改注册表以实现系统启动后每次运行 PcDirvs.exe 的持久化。

值得指出的是,诱饵 PDF 实际上是一份由巴基斯坦国家网络应急响应团队(PKCERT)在 2024 年发布的合法 advisory,警示政府机构防范假冒 WhatsApp 消息的恶意 WinRAR 文件。

DLL wininet.dll 连接到位于 dns.wmiprovider[.]com 的硬编码命令与控制(C2)基础设施,该域名于 2025 年四月中旬注册。当前 C2 已处于非活跃状态,但基于 Windows 注册表的持久化机制确保威胁在未来任何时间都可能被复活。

“该 DLL 实现了多条基于 HTTP GET 的端点,用于与 C2 服务器通信、获取更新以及执行攻击者下发的指令,” CYFIRMA 说明。 “为规避静态字符串检测,端点字符被刻意以倒序存储。”

端点列表如下:

  • /retsiger(register):向 C2 注册受感染系统。
  • /taebtraeh(heartbeat):向 C2 发送心跳以表明存活。
  • /dnammoc_teg(get_command):通过 cmd.exe 执行任意命令。
  • /dnammocmvitna(antivmcommand):查询或设置反虚拟化状态,以可能调整行为。

该 DLL 还会查询受害系统上已安装的杀毒软件,使其成为一个能够进行侦察并收集敏感信息的强大工具。

Patchwork 与新型 StreamSpy 木马的关联

此披露出现在 Patchwork(亦称 Dropping Elephant 或 Maha Grass)与针对巴基斯坦防务部门的攻击活动之间数周后。Patchwork 被认为同样来源于印度,其攻击使用通过 ZIP 包分发的钓鱼邮件投放基于 Python 的后门。

归档中包含一个 MSBuild 项目,执行 msbuild.exe 后会部署一个投放器,最终安装并启动 Python RAT。该恶意软件能够联系 C2 服务器,运行远程 Python 模块、执行命令以及上传/下载文件。

“该活动展示了高度现代化、极度混淆的 Patchwork APT 工具包,融合了 MSBuild LOLBin 加载器、经 PyInstaller 修改的 Python 运行时、序列化字节码植入、地理围栏、随机化的 PHP C2 端点以及真实的持久化机制,” 研究员 Idan Tarab 说明。

截至 2025 年12 月,Patchwork 还与此前未记录的名为 StreamSpy 的木马关联,该木马使用 WebSocket 与 HTTP 协议进行 C2 通信。WebSocket 用于接收指令并返回执行结果,HTTP 则用于文件传输。

StreamSpy 与 Patchwork 的关联源于其与 Spyder(WarHawk 的变种)相似,而 Spyder 归属 SideWinder(亦称 DoNot Team)。Patchwork 自 2023 年起即使用 Spider 变体。

该恶意软件通过 ZIP 档案(OPS-VII-SIR.zip)分发,下载的执行文件(Annexure.exe)能够收集系统信息、通过 Windows 注册表、计划任务或启动文件夹的 LNK 实现持久化、并使用 HTTP 与 WebSocket 与 C2 交互。支持的指令包括:

  • F1A5C3:下载文件并使用 ShellExecuteExW 打开。
  • B8C1D2:将 shell 设置为 cmd 进行命令执行。
  • E4F5A6:将 shell 设置为 PowerShell 进行命令执行。
  • FL_SH1:关闭所有 shell。
  • C9E3D4、E7F8A9、H1K4R8、C0V3RT:从 C2 下载加密 ZIP、解压并使用 ShellExecuteExW 打开。
  • F2B3C4:收集文件系统及所有磁盘信息。
  • D5E6F7:执行文件上传与下载。
  • A8B9C0:执行文件上传。
  • D1E2F3:删除文件。
  • A4B5C6:重命名文件。
  • D7E8F9:枚举指定文件夹。

QiAnXin 表示,StreamSpy 下载站点同样托管 Spyder 变体,这些变体具备广泛的数据收集功能,并且其数字签名与另一个被归属为 DoNot Team(亦称 Brainworm)的 Windows RAT——ShadowAgent——存在关联。

“StreamSpy 木马的出现以及 Maha Grass 组的 Spyder 变体表明该组织持续迭代攻击工具,” 该中国安全厂商评论道。

“在 StreamSpy 木马中,攻击者尝试使用 WebSocket 通道进行指令下发和结果反馈,以规避对 HTTP 流量的检测和审查。同时,相关样本进一步证实 Maha Grass 与 DoNot 攻击组在资源共享方面存在一定关联。”