5 de enero de 2026

Transparent Tribe intensifica ataques con RAT contra gobierno y academia en India

Transparent Tribe intensifica ataques con RAT contra gobierno y academia en India

El grupo de amenazas Transparent Tribe, también conocido como APT36, lanzó una nueva oleada de ataques de ciberespionaje dirigidos a organismos gubernamentales, instituciones académicas y entidades estratégicas de India. La campaña se apoya en el uso de Remote Access Trojans (RAT) para lograr control persistente sobre los sistemas comprometidos mediante técnicas de entrega engañosas y difíciles de detectar.

Detalles técnicos del ataque

La operación utiliza archivos de acceso directo de Windows (LNK) weaponizados, camuflados como documentos PDF legítimos que incluyen contenido real para reducir la sospecha del usuario. Al ejecutarse, estos accesos directos activan loaders desarrollados en .NET, responsables de desplegar ejecutables y DLL maliciosas en el sistema.

Una vez completada la infección, el RAT habilita capacidades de:

  • Ejecución remota de comandos

  • Reconocimiento del entorno comprometido

  • Persistencia a largo plazo y acceso continuo

Un ejemplo identificado en la campaña es el archivo falso “NCERT-Whatsapp-Advisory.pdf.lnk”, que simula un aviso oficial de carácter gubernamental, aumentando la probabilidad de ejecución por parte de la víctima.

Perfil del actor de amenaza

Transparent Tribe es un actor de amenazas presuntamente patrocinado por el Estado, con origen en Pakistán y actividad documentada desde al menos 2013. Su foco principal son objetivos indios de alto valor, incluyendo sectores militares, gubernamentales y educativos.

El grupo mantiene un arsenal de RATs en constante evolución, entre los que destacan CapraRAT, Crimson RAT, ElizaRAT y DeskRAT, orientados a la recolección de inteligencia estratégica. En los últimos meses, los analistas observaron una intensificación de ataques contra el sector educativo, con campañas dirigidas a los Indian Institutes of Technology (IIT), los National Institutes of Technology (NIT) y organizaciones vinculadas a defensa.

Implicaciones y recomendaciones

Esta campaña confirma la persistencia de APT36 en sus operaciones de ciberespionaje contra India, así como su capacidad de adaptación para evadir controles de seguridad tradicionales. El uso de archivos LNK con contenido legítimo incrustado eleva el nivel de sofisticación y complica la detección temprana.

Como medidas de mitigación, se recomienda a las organizaciones:

  • Reforzar filtros antiphishing y análisis de adjuntos

  • Implementar escaneo avanzado de URLs y archivos LNK

  • Aplicar segmentación de red y controles de privilegios

  • Capacitar a usuarios frente a técnicas de ingeniería social

La cooperación con firmas de inteligencia de amenazas como CYFIRMA y con equipos CERT nacionales resulta clave para el intercambio oportuno de indicadores de compromiso (IoC) y la contención de este tipo de campañas.

Fuente: https://www.news4hackers.com/new-rat-attacks-against-the-indian-government-and-academic-institutions-by-transparent-tribe-or-apt36/
Siguiente → Cibercriminales abusan de función de cor...
Escrito por:
Luis Carreón
📰 Otras noticias del día
Cibercriminales abusan de función de correo en Google Cloud en campaña de phishing multi-etapa
Atacante adrxx de Chronus revela robo de datos de 20 mil agentes de la Guardia Nacional
📧 Suscríbete

Recibe las últimas noticias de ciberseguridad directamente en tu email.

← Volver al inicio