13 de febrero de 2026

Grupos de Ciberespionaje APT36 y SideCopy Despliegan Campaña Multiplataforma contra Sectores Estratégicos

Grupos de Ciberespionaje APT36 y SideCopy Despliegan Campaña Multiplataforma contra Sectores Estratégicos

Los sectores de defensa y gubernamentales en el sur de Asia están enfrentando una ofensiva coordinada de ciberespionaje. Investigadores de firmas como Aryaka, CYFIRMA y Seqrite Labs han documentado una serie de campañas diseñadas para infiltrar sistemas tanto en Windows como en Linux, utilizando troyanos de acceso remoto (RAT) altamente sofisticados.

La Evolución de Transparent Tribe y SideCopy

Las operaciones han sido atribuidas a los grupos de amenazas conocidos como APT36 (también llamado Transparent Tribe) y su subdivisión SideCopy. Según Aditya K. Sood, vicepresidente de ingeniería de seguridad en Aryaka, estos grupos no están inventando nuevas formas de espionaje, sino "refinando" sus métodos para operar por debajo del umbral de detección, expandiendo su alcance a múltiples sistemas operativos.


El Arsenal: Geta RAT, Ares RAT y DeskRAT

Los atacantes han diversificado su arsenal con tres familias de malware principales, cada una optimizada para objetivos específicos:

  1. Geta RAT (Windows): Se distribuye a través de archivos de acceso directo (LNK) que ejecutan aplicaciones HTML (HTA) maliciosas. Este malware es capaz de robar credenciales, capturar pantallas, manipular el portapapeles y extraer datos de dispositivos USB conectados.

  2. Ares RAT (Linux): Una variante escrita en Python que utiliza binarios en lenguaje Go como punto de partida. Permite a los atacantes ejecutar comandos arbitrarios en servidores y estaciones de trabajo Linux.

  3. DeskRAT (Multiplataforma): Identificado recientemente por Sekoia y QiAnXin XLab, este malware se entrega mediante complementos de PowerPoint (archivos .ppam) que ejecutan macros maliciosas para establecer comunicación con servidores de comando y control.

Cadena de Infección y Tácticas de Evasión

La campaña utiliza correos electrónicos de phishing con temas de defensa como señuelo. Una táctica recurrente identificada por el investigador Sathwik Ram Prakki de Seqrite Labs involucra el uso de archivos PDF señuelo para distraer al usuario mientras el malware verifica la presencia de antivirus y adapta su método de persistencia en el sistema.

"El despliegue de DeskRAT, junto con Geta RAT y Ares RAT, subraya un conjunto de herramientas en evolución optimizado para el sigilo y el acceso a largo plazo", señalaron los analistas de Aryaka. La infraestructura utilizada para estos ataques a menudo imita dominios oficiales o utiliza servidores regionales de confianza para evitar sospechas.

Recomendaciones de Seguridad: Las firmas de inteligencia de amenazas sugieren a las organizaciones gubernamentales y de defensa reforzar el monitoreo de archivos LNK y adjuntos de Office no solicitados, así como implementar políticas estrictas contra la ejecución de macros y scripts HTA en entornos corporativos.

Fuente: https://www.aryaka.com/blog/espionage-without-noise-apt36-enduring-campaigns/
← Anterior Más de 60 Gigantes Tecnológicos Lanzan P...
Siguiente → "AgreeToSteal": Detectan el Primer Compl...
Escrito por:
Luis Carreón
📰 Otras noticias del día
Más de 60 Gigantes Tecnológicos Lanzan Parches Críticos por Vulnerabilidades "Zero-Day" y Fallos de Inyección
"AgreeToSteal": Detectan el Primer Complemento Malicioso en Microsoft Outlook que Roba Miles de Credenciales
📧 Suscríbete

Recibe las últimas noticias de ciberseguridad directamente en tu email.

← Volver al inicio