Cada antivirus, su propio enfoque: hackers crean un supertroyano que se adapta a cualquier protección

La banda de hackers Transparent Tribe inició una nueva ola de ataques de ciberespionaje dirigidos a organismos gubernamentales, instituciones científicas y organizaciones estratégicamente importantes en India. La herramienta principal de los atacantes fue otra variante de troyano de acceso remoto (RAT), que permite mantener una presencia persistente en el sistema comprometido.

Según Cyfirma, la campaña actual comienza con correos de phishing a los que se adjunta un archivo comprimido con un acceso directo de Windows disfrazado de documento PDF. Tras ejecutar el archivo en el equipo de la víctima se activa un script HTA lanzado a través de «mshta.exe». Ese script descifra y carga el componente malicioso directamente en la memoria RAM, mientras abre un PDF falso para no despertar sospechas.

Durante su ejecución, el script interactúa con el sistema operativo mediante objetos ActiveX, lo que le permite determinar parámetros del sistema y adaptar su comportamiento según las características de la máquina. Ese comportamiento aumenta la fiabilidad de la ejecución del código malicioso.

El mecanismo de persistencia en el sistema merece especial atención. El programa analiza el software antivirus instalado y, según el producto detectado, utiliza distintos métodos. Así, si existe una solución de Kaspersky Lab se crea una carpeta oculta y allí se guarda un archivo cifrado que se ejecuta mediante un acceso directo en el inicio automático. En el caso de Quick Heal, el troyano crea un archivo .bat que invoca el mismo script HTA. Si se detectan soluciones de Avast, AVG o Avira, el archivo malicioso se copia directamente al inicio automático. Si no se detecta ningún antivirus, se usa una combinación de scripts y cambios en el registro del sistema.

El componente malicioso principal —la biblioteca «iinneldc.dll»— realiza funciones de espionaje: puede controlar el sistema, trabajar con archivos, interceptar datos, tomar capturas de pantalla y ejecutar comandos a través de la línea de comandos.

Además de este ataque, el grupo también está vinculado a otra operación reciente en la que se utilizó un acceso directo disfrazado de documento gubernamental. El archivo malicioso denominado «NCERT-Whatsapp-Advisory.pdf.lnk» descarga un instalador desde un sitio asociado al dominio «aeroclubofindia.co[.]in». Tras la ejecución se extraen y escriben en el dispositivo de la víctima bibliotecas maliciosas y un ejecutable que se inicia con retraso. La persistencia se asegura mediante un script VBScript que realiza cambios en el registro para que el ejecutable principal se ejecute en cada inicio.

Cabe destacar que el PDF mostrado era en realidad una advertencia oficial publicada en Pakistán en 2024 y se refería al envío de un archivo malicioso a través del mensajero WhatsApp. Esto se utiliza para aumentar la confianza en el adjunto y la probabilidad de que se abra.

Una de las bibliotecas establece comunicación con un servidor de mando cuyo dominio fue registrado en la primavera de 2025. Aunque por el momento ese servidor no está activo, la entrada de inicio automático guardada en el sistema permite recuperar con facilidad el control del dispositivo infectado.

La biblioteca se conecta al servidor mediante peticiones GET, registrando el sistema infectado, enviando señales periódicas de actividad y recibiendo nuevos comandos. Todas las peticiones se cifran invirtiendo el orden de los caracteres en la URL para evitar la detección por análisis de firmas. Además, la biblioteca comprueba la presencia de soluciones antivirus, lo que amplía su capacidad para recopilar información y ajustar su comportamiento según el entorno.

Así, Transparent Tribe sigue siendo un adversario persistente y metódico, centrado en la recogida de información de inteligencia en plataformas gubernamentales e investigadoras de India.