Primero la curiosidad, luego la filtración: cómo un complemento malicioso de PowerPoint permite a los hackers acceder a documentos secretos.
Analizamos el funcionamiento de las bandas que prefieren la paciencia al espectáculo llamativo
Ante el aumento de ataques dirigidos a entidades gubernamentales, son cada vez más frecuentes campañas que se desarrollan durante años casi sin ruido y sin buscar un efecto rápido. En un análisis reciente de Aryaka Threat Research Labs se describen signos de tal "ecosistema de ciberespionaje" en torno al grupo Transparent Tribe (APT36), vinculado a Pakistán, y a su grupo afín SideCopy. Ambos continúan operando de manera sistemática contra organismos gubernamentales y de defensa de la India.
Según el equipo de Aryaka, en el último mes se registraron varias campañas activas que afectaron tanto a Windows como a Linux. La lógica general sigue siendo la misma: acceso sigiloso y recopilación prolongada de datos, pero las herramientas y las técnicas de consolidación se han ido complicando, incluyendo cargas útiles multiplataforma y canales de control más discretos.
En el escenario de Windows, los atacantes enviaban correos de phishing que conducían a la descarga de archivos LNK y HTA. A partir de ahí se desplegaba GETA RAT, un troyano de acceso remoto en .NET que el informe vincula a SideCopy. La cadena de infección se apoyaba en componentes nativos de Windows, incluido mshta.exe, así como en técnicas de deserialización XAML y ejecución en memoria, lo que ayuda a eludir controles clásicos basados en archivos. Para mantener el control se emplearon mecanismos multinivel de autoinicio, diseñados para preservar el acceso incluso si se interrumpía parcialmente la cadena de implantación.
Paralelamente se observó una línea separada de ataques contra Linux, donde Transparent Tribe, según los autores, ha ganado notable madurez. Se utilizó un cargador escrito en Go que instalaba ARES RAT, una herramienta de acceso remoto en Python que anteriormente ya se había vinculado a la actividad de APT36. Tras la instalación, el malware recopilaba el perfil del sistema, enumeraba archivos de forma recursiva y preparaba una extracción estructurada de datos. La persistencia se lograba mediante servicios de usuario de systemd, lo que permitía que la infección sobreviviera a reinicios y pareciera una actividad normal del sistema.
Se destaca por separado una nueva herramienta, Desk RAT, también escrita en Go. Se distribuía mediante una extensión maliciosa para PowerPoint en formato PPAM. Este troyano se enfoca en la telemetría y la vigilancia en tiempo real, recopila diagnóstico ampliado del equipo y utiliza WebSocket para intercambiar mensajes operativos y tráfico de comandos, manteniendo a los operadores informados constantemente sobre el estado de los sistemas infectados.
El artículo subraya que Transparent Tribe y SideCopy no tanto inventan enfoques nuevos como afinan cuidadosamente métodos probados, ampliando su cobertura de plataformas y aumentando la sigilosidad. Esto complica la detección y exige el control de señales de comportamiento y la transparencia del monitoreo tanto en entornos Windows como Linux.