Nel panorama sempre più complesso della sicurezza informatica, l'India si trova al centro di campagne di cyber spionaggio orchestrate da gruppi noti come Transparent Tribe e IcePeony. Questi attacchi sono caratterizzati dall'uso di strumenti basati su cloud, che complicano notevolmente gli sforzi di rilevamento e mitigazione. Transparent Tribe, noto anche come APT36, sta utilizzando un malware chiamato ElizaRAT e un payload chiamato ApoloStealer per colpire specifici settori governativi indiani. Questo gruppo ha una lunga storia di attività malevola, in particolare contro dispositivi Windows, Android e Linux. La loro recente attenzione verso i sistemi Linux è legata alla diffusione di Maya OS, una versione personalizzata di Ubuntu utilizzata dal governo indiano.
Le catene di infezione di ElizaRAT iniziano spesso con file CPL distribuiti tramite tecniche di spear-phishing. Queste campagne sfruttano servizi cloud legittimi come Telegram, Google Drive e Slack per le comunicazioni di comando e controllo, consentendo ai cyber criminali di confondersi con il normale traffico di rete. L'ApoloStealer, invece, è progettato per raccogliere file con estensioni specifiche dai sistemi compromessi e trasferirli a un server remoto. La capacità di ElizaRAT di garantire un completo controllo del sistema compromesso rappresenta una minaccia significativa per le infrastrutture critiche.
IcePeony
Parallelamente, il gruppo IcePeony, di origine cinese, ha preso di mira agenzie governative, istituzioni accademiche e organizzazioni politiche in India, Mauritius e Vietnam. Le loro tecniche di attacco iniziano spesso con SQL Injection, seguite dall'installazione di web shell e backdoor. Uno degli strumenti più avanzati nel loro arsenale è IceCache, una versione personalizzata della web shell reGeorg, progettata per attaccare i servizi Microsoft Internet Information Services (IIS). Inoltre, utilizzano un backdoor passivo chiamato IceEvent, che consente il caricamento e il download di file e l'esecuzione di comandi.
Questi attacchi non sono attività isolate, ma parte di operazioni professionali organizzate, come indicato dai modelli di attività degli attaccanti che lavorano sei giorni alla settimana. La crescente sofisticazione di questi gruppi sottolinea la necessità per le organizzazioni di rafforzare le loro difese informatiche e di adottare strategie di rilevamento e risposta più avanzate. La capacità di questi cyber attori di sfruttare servizi legittimi per attività malevole evidenzia la complessità della moderna sicurezza informatica e l'importanza di un approccio proattivo alla protezione delle informazioni sensibili.
