O grupo de hackers conhecido como Transparent Tribe, também chamado de APT36, lançou uma nova série de ataques cibernéticos contra entidades governamentais e acadêmicas na Índia. Utilizando um trojan de acesso remoto (RAT), o grupo consegue manter controle persistente sobre os sistemas comprometidos. A campanha recente utiliza arquivos de atalho do Windows (LNK) disfarçados de documentos PDF legítimos para enganar os usuários.
Os ataques começam com e-mails de phishing que contêm um arquivo ZIP com um arquivo LNK que se passa por um PDF. Ao ser aberto, ele executa um script de aplicação HTML remota (HTA) que carrega o RAT diretamente na memória. Para não levantar suspeitas, um documento PDF falso é aberto simultaneamente.
O malware se adapta ao software antivírus detectado no sistema infectado. Se o Kaspersky é identificado, ele cria um diretório de trabalho e estabelece persistência através de um arquivo LNK na pasta de inicialização do Windows. Para outros antivírus, como Quick Heal, Avast, AVG e Avira, métodos alternativos são utilizados para garantir a persistência do malware.
O trojan oferece controle remoto completo do sistema, incluindo gerenciamento de arquivos, exfiltração de dados, captura de tela e manipulação da área de transferência. Recentemente, a APT36 também foi associada a uma campanha que usa um arquivo de atalho malicioso disfarçado de PDF de consultoria governamental para executar comandos remotos e manter acesso prolongado aos sistemas.
O malware se conecta a uma infraestrutura de comando e controle (C2) registrada em abril de 2025. Embora atualmente inativa, a persistência baseada no Registro do Windows permite que a ameaça seja reativada a qualquer momento. O malware utiliza endpoints HTTP GET para comunicação com o servidor C2, evitando a detecção de strings estáticas ao armazenar caracteres em ordem reversa.
Fonte:https://thehackernews.com/2026/01/transparent-tribe-launches-new-rat.html
