Un gruppo di cyber spionaggio del Sud Asia, noto come Bitter, ha preso di mira un'organizzazione del settore della difesa turca nel novembre 2024 per distribuire due famiglie di malware in C++, identificate come WmRAT e MiyaRAT. Questo attacco ha utilizzato flussi di dati alternativi (ADS) in un archivio RAR per consegnare un file di collegamento (LNK) che ha creato un'attività pianificata sul computer bersaglio per scaricare ulteriori payload. Gli esperti di sicurezza di Proofpoint stanno monitorando questo attore di minacce sotto il nome di TA397, conosciuto anche come APT-C-08, APT-Q-37, Hazy Tiger e Orange Yali.
Il gruppo Bitter è attivo almeno dal 2013 e ha precedentemente preso di mira entità in Cina, Pakistan, India, Arabia Saudita e Bangladesh, utilizzando malware come BitterRAT, ArtraDownloader e ZxxZ, indicando una forte focalizzazione sull'Asia. Bitter è stato collegato anche ad attacchi che hanno portato alla distribuzione di malware Android come PWNDROID2 e Dracarys, secondo rapporti di BlackBerry e Meta.
Attacco documentato da Proofpoint
Un attacco documentato da Proofpoint ha visto l'attore di minacce utilizzare un’esca su progetti infrastrutturali in Madagascar per attirare le vittime a lanciare l’archivio RAR trappola. All'interno dell'archivio RAR era presente un file esca relativo a un'iniziativa pubblica della Banca Mondiale in Madagascar, un file di collegamento Windows che si mascherava da PDF e un file ADS nascosto contenente codice PowerShell. Gli ADS sono una funzionalità introdotta nel file system NTFS di Windows per collegare e accedere a flussi di dati a un file, permettendo di nascondere payload malevoli all'interno del record di un file innocuo.
LNK, se lanciato dalla vittima, contiene codice per recuperare un file esca ospitato sul sito della Banca Mondiale, mentre il secondo ADS include uno script PowerShell codificato in Base64 per aprire il documento esca e impostare un'attività pianificata per recuperare i payload finali dal dominio jacknwoods[.]com. WmRAT e MiyaRAT, come dettagliato da QiAnXin, possiedono capacità standard di trojan di accesso remoto (RAT), in grado di raccogliere informazioni sull'host, caricare o scaricare file, scattare screenshot, ottenere dati di geolocalizzazione, enumerare file e directory ed eseguire comandi arbitrari tramite cmd.exe o PowerShell.
Si ritiene che l'uso di MiyaRAT sia riservato a obiettivi di alto valore, dato che è stato distribuito selettivamente in solo poche campagne. "Queste campagne sono quasi certamente sforzi di raccolta di intelligence a supporto degli interessi di un governo del Sud Asia", afferma Proofpoint. "Utilizzano costantemente attività pianificate per comunicare con i loro domini di staging per distribuire backdoor malevoli nelle organizzazioni bersaglio, allo scopo di ottenere accesso a informazioni privilegiate e proprietà intellettuale."