Hackers escondem vírus em “PDFs” para espionar governo e universidades

Pesquisadores divulgaram detalhes de uma nova campanha de ciberespionagem atribuída ao grupo hacker Transparent Tribe, também conhecido como APT36, que tem como alvo órgãos governamentais, instituições acadêmicas e entidades estratégicas da Índia. Os ataques utilizam um trojan de acesso remoto (RAT) capaz de manter controle persistente sobre sistemas comprometidos, permitindo espionagem contínua das vítimas.

De acordo com um relatório técnico da CYFIRMA, a campanha emprega técnicas sofisticadas de engenharia social e evasão. O vetor inicial é um e-mail de spear phishing que contém um arquivo ZIP com um atalho do Windows (LNK) disfarçado de documento PDF legítimo. Para aumentar a credibilidade, o arquivo inclui o conteúdo real do PDF, reduzindo a suspeita do usuário no momento da abertura.

Cadeia de infecção baseada em mshta.exe e execução em memória

Ao ser aberto, o arquivo LNK executa silenciosamente um script HTA remoto por meio do utilitário nativo do Windows mshta.exe. Esse script é responsável por descriptografar e carregar o payload final do RAT diretamente na memória, dificultando a detecção por soluções tradicionais de segurança. Paralelamente, um PDF isca é aberto para dar a impressão de que apenas um documento legítimo foi acessado.

Segundo os Pesquisadores, o malware faz uso intensivo de objetos ActiveX, como o WScript.Shell, para interagir com o sistema operacional, realizar profiling do ambiente e ajustar sua execução conforme a configuração da máquina infectada. Essa abordagem aumenta significativamente a confiabilidade do ataque e demonstra um alto nível de maturidade operacional do grupo hacker.

Persistência adaptativa conforme o antivírus instalado

Um dos aspectos mais preocupantes dessa campanha é a capacidade do malware de adaptar seus mecanismos de persistência com base na solução antivírus detectada no sistema comprometido:

Quando o Kaspersky é identificado, o malware cria um diretório em *C:\Users\Public\core*, grava um payload HTA ofuscado no disco e estabelece persistência por meio de um atalho LNK na pasta de inicialização do Windows, que executa o script via mshta.exe.

Em sistemas com Quick Heal, a persistência é feita com a criação de um arquivo batch e um LNK malicioso na pasta Startup, que chamam o HTA gravado no disco.

Caso sejam detectados Avast, AVG ou Avira, o payload é simplesmente copiado para o diretório de inicialização e executado diretamente.

Se nenhum antivírus conhecido for encontrado, o malware recorre a uma combinação de execução via batch, persistência no registro do Windows e implantação do payload, antes de iniciar o script malicioso.

RAT completo voltado à espionagem

O estágio final da infecção envolve o carregamento de uma DLL chamada iinneldc.dll, que atua como um RAT completo. Entre suas funcionalidades estão controle remoto do sistema, gerenciamento de arquivos, exfiltração de dados, captura de screenshots, manipulação da área de transferência e controle de processos, características típicas de operações de espionagem patrocinadas por Estados-nação.

O histórico do Transparent Tribe mostra um arsenal em constante evolução, com o uso anterior de famílias de malware como CapraRAT, Crimson RAT, ElizaRAT e DeskRAT. Ativo desde pelo menos 2013, o grupo é amplamente conhecido por conduzir campanhas prolongadas e direcionadas contra interesses estratégicos indianos, reforçando seu perfil como um ator persistente e altamente direcionado no cenário de ameaças cibernéticas.

THN