A infraestrutura essencial em todo o mundo está sendo ameaçada por “ecossistemas de espionagem” altamente organizados e patrocinados pelo Estado. Essas organizações de malha frouxa, mas com bons recursos, estão implantando uma variedade de ferramentas destinadas a interromper serviços essenciais e coletar informações. Algumas trabalham lançando ataques dedicados de negação de serviço (DDoS) contra centros de transporte e comunicação, bem como cadeias de suprimentos comerciais. Outros buscam vantagens geopolíticas, militares ou econômicas, são adeptos da mineração de informações confidenciais e hábeis em contornar as medidas de segurança tradicionais. Tudo é um alvo e nenhum lugar é seguro.
Então, como é um ecossistema de espionagem e como ele funciona? Neste blog, demonstramos um exemplo recente.
Por mais de uma década, o governo indiano e as organizações de defesa operaram sob uma sombra digital constante. Nos bastidores, um ecossistema de espionagem fortemente conectado – principalmente a Transparent Tribe (APT36) e o cluster SideCopy, estreitamente alinhado – continuou a sondar, adaptar-se e persistir. Embora as campanhas individuais venham e vão, o objetivo subjacente permanece inalterado: coleta de inteligência de longo prazo por meio de acesso furtivo e resiliente, enfatizando a importância de esforços de defesa sustentados.
Esses agentes não são chamativos. Em vez disso, eles se baseiam em táticas comprovadas, spear-phishing, documentos armados e uma combinação de cavalos de Troia de acesso remoto personalizados e prontos para uso para se inserir discretamente nos ambientes-alvo. No entanto, com o passar do tempo, suas ferramentas evoluíram constantemente. Cargas úteis multiplataforma, execução residente na memória e canais de comando e controle cada vez mais secretos agora formam a espinha dorsal de um ecossistema projetado para ter paciência em vez de velocidade, incentivando os defensores a se adaptarem continuamente.
Um surto de atividade: O que observamos
No último mês, o Aryaka Threat Research Labs observou várias campanhas ativas direcionadas à defesa indiana e a organizações alinhadas ao governo em ambientes Windows e Linux. O detalhamento do foco dessas campanhas enfatiza o cenário de ameaças persistentes enfrentado pelos setores de segurança regionais.
Campanha do Windows: GETA RAT via Living-Off-the-Land Abuse
Uma campanha ativa visava sistemas Windows usando e-mails de phishing que entregavam arquivos LNK e HTA. Esses arquivos acabaram por implantar o GETA RAT, um trojan de acesso remoto baseado em .NET frequentemente vinculado ao cluster SideCopy. A cadeia de infecção abusa de componentes legítimos do Windows, incluindo mshta.exe, desserialização de XAML e execução de carga útil na memória, para evitar a detecção tradicional baseada em arquivos.
Para alcançar a persistência, os atacantes implementaram mecanismos de inicialização em camadas que garantiram o acesso contínuo, mesmo que ocorresse uma interrupção na cadeia de infecção. O resultado é um ponto de apoio leve, mas durável, adequado para reconhecimento prolongado e coleta de informações.
Campanha Linux: ARES RAT e persistência em nível de sistema
Paralelamente, uma campanha separada concentrou-se em ambientes Linux, uma área em que a Transparent Tribe demonstrou maturidade crescente. Essa operação usou um downloader baseado em Go para instalar o ARES RAT, uma ferramenta de acesso remoto baseada em Python historicamente associada à atividade do APT36.
Uma vez implantado, o ARES RAT executou o perfil automatizado do sistema, a enumeração recursiva de arquivos e a exfiltração de dados estruturados. A persistência foi obtida por meio de serviços de usuário systemd, permitindo que o malware sobrevivesse às reinicializações e se misturasse às operações normais do sistema. Essa campanha sinaliza claramente a intenção de manter a paridade entre as plataformas, em vez de tratar o Linux como uma reflexão tardia.
Uma ferramenta emergente: O Desk RAT entra em cena
Além das famílias de malware conhecidas, o Aryaka Threat Research Labs também observou campanhas que distribuem o Desk RAT, um trojan de acesso remoto baseado em Go distribuído por meio de um PowerPoint Add-In (PPAM) malicioso. A ênfase nessa ferramenta emergente ressalta a inovação contínua dos agentes de ameaças e a necessidade de estratégias de detecção atualizadas.
O Desk RAT destaca-se por sua ênfase na telemetria do host e no monitoramento em tempo real. Ele coleta diagnósticos detalhados do sistema e se comunica com seus operadores usando comando e controle baseados em WebSocket, trocando mensagens estruturadas de heartbeat e informações do cliente. Esse design permite a conscientização contínua da situação em hosts comprometidos, reforçando os objetivos de vigilância de longo prazo do APT36.
O quadro geral
Em conjunto, essas campanhas reforçam uma narrativa familiar, mas em evolução. A Transparent Tribe e a SideCopy não estão reinventando a espionagem – elas a estão refinando. Ao expandir a cobertura entre plataformas, inclinar-se para técnicas residentes na memória e experimentar novos vetores de entrega, esse ecossistema continua a operar abaixo do nível de ruído, mantendo o foco estratégico.
Para os defensores, a conclusão é clara: esses não são incidentes isolados, mas esforços coordenados em um ecossistema de ameaças maduro. A detecção e a interrupção desses agentes exigem visibilidade em todas as plataformas, atenção a sinais comportamentais sutis e a compreensão de que a persistência é a maior arma do atacante, e não a velocidade, o que capacita as equipes de segurança a tomar medidas abrangentes.
Leia o relatório completo aqui