Grupa hakera poznata kao APT36 ili Transparent Tribe, koja djeluje iz Pakistana, pokrenula je sofisticiranu kampanju fišinga usmjerenu na indijsko vojno osoblje. Cilj ove kampanje je krađa vjerodajnica, što omogućava dugoročno prodiranje u osjetljive vojne mreže.
Ova aktivnost predstavlja značajnu eskalaciju u kibernetskim prijetnjama od strane država, koristeći napredne tehnike društvenog inženjeringa koje iskorištavaju povjerenje u zvaničnu vladinu komunikaciju. Metoda napada se zasniva na pažljivo izrađenim fišing mejlovima koji sadrže maliciozne PDF privitke, dizajnirane da izgledaju kao legitimni vladini dokumenti.
Kada primalac otvori ove PDF datoteke, dočeka ga zamagljena pozadina koja služi za stvaranje privida autentičnosti, uz poruku da je dokument zaštićen i da zahtijeva interakciju korisnika radi pristupa sadržaju. Analitičari iz CYFIRMA-e su utvrdili da klik na istaknuto dugme “Click to View Document” preusmjerava korisnike na lažni URL koji oponaša interfejs za prijavu Nacionalnog informacijskog centra (NIC), što na kraju pokreće preuzimanje ZIP arhive koja sadrži prikriveni malver.
Posljedice ove kampanje nadilaze neposrednu krađu vjerodajnica, jer malver uspostavlja mehanizme za trajni pristup u ciljanim sistemima. Ova operacija pokazuje strateški cilj APT36 da održi dugoročno prisustvo u odbrambenoj infrastrukturi Indije, ističući kritične ranjivosti u postojećim kibernetičkim protokolima. Zlonamjerni domen korišten u ovim napadima registrovan je 23. oktobra 2024. godine, sa istekom 23. oktobra 2025. godine, što ukazuje na promišljenu strategiju kratkoročnog raspoređivanja.
Mehanizam infekcije malvera otkriva napredne tehničke sposobnosti dizajnirane da izbjegnu otkrivanje i analizu. Izvršna datoteka, nazvana “PO-003443125.pdf.exe”, koristi više tehnika protiv analize, uključujući funkciju Windows API-ja IsDebuggerPresent za detekciju okruženja za debugovanje. Ukoliko malver prepozna alate za analizu poput x64dbg, WinDbg ili OllyDbg, prikazuje kritičnu poruku “This is a third-party compiled script” prije prekida izvršavanja. Dodatno, malver koristi IsWow64Process za identifikaciju 32-bitnih procesa koji rade na 64-bitnim sistemima, što je čest pokazatelj virtualizovanih ili analitičkih okruženja. Mehanizam učitavanja resursa malvera koristi FindResourceExW za lociranje ugrađenog resursa skripte, koji se zatim izvršava putem COM ili ActiveScript interfejsa, omogućavajući izvršavanje bez datoteka (fileless execution) čime se zaobilaze tradicionalne metode detekcije. Ovaj višeslojni pristup demonstrira rastuću sofisticiranost APT36 u razvoju malvera otpornog na detekciju, posebno usmjerenog na visokovrijedne ciljeve u odbrambenom sektoru.
