Il gruppo di hacker noto come Patchwork è stato recentemente collegato a un attacco informatico mirato contro entità legate al Bhutan, utilizzando il sofisticato strumento Brute Ratel C4 e una versione aggiornata di un backdoor chiamato PGoShell. Questo sviluppo segna la prima volta in cui l'avversario è stato osservato utilizzare questo software di red teaming, secondo un'analisi pubblicata dal team Knownsec 404.

Il cluster di attività, conosciuto anche come **APT-C-09, Dropping Elephant, Operation Hangover, Viceroy Tiger e Zinc Emerson**, è un attore sponsorizzato dallo stato, probabilmente di origine indiana. Patchwork è noto per condurre attacchi di spear-phishing e watering hole contro Cina e Pakistan e si ritiene che sia attivo almeno dal 2009, secondo i dati condivisi dalla società cinese di cybersecurity QiAnXin.

Lo scorso luglio, Knownsec 404 ha rivelato i dettagli di una campagna di spionaggio mirata a università e organizzazioni di ricerca in Cina, che sfruttava un impianto basato su .NET chiamato EyeShell per recuperare ed eseguire comandi da un server controllato dagli attaccanti, eseguire payload aggiuntivi e catturare screenshot. Successivamente, a febbraio, è stato scoperto che gli hacker avevano utilizzato esche a tema romantico per attirare vittime in Pakistan e India e compromettere i loro dispositivi Android con un trojan di accesso remoto chiamato VajraSpy.

Il punto di partenza dell'ultimo attacco osservato è un file di collegamento Windows (LNK) progettato per scaricare un documento PDF decoy da un dominio remoto che impersona il Fondo di Adattamento sostenuto dall'UNFCCC, distribuendo in modo furtivo Brute Ratel C4 e PGoShell recuperati da un altro dominio ("beijingtv[.]org"). PGoShell, sviluppato nel linguaggio di programmazione Go, offre un ricco set di funzionalità, tra cui capacità di shell remoto, cattura dello schermo e download ed esecuzione di payload, secondo quanto affermato dalla società di cybersecurity.

Questo sviluppo arriva a distanza di pochi mesi da quando **APT-K-47** – un altro attore di minacce che condivide tattiche con **SideWinder, Patchwork, Confucius e Bitter** – è stato attribuito ad attacchi che coinvolgevano l'uso di ORPCBackdoor e malware precedentemente non documentati come WalkerShell, DemoTrySpy e NixBackdoor per raccogliere dati ed eseguire shellcode. Gli attacchi sono anche notevoli per il dispiegamento di un framework open-source di command-and-control (C2) noto come Nimbo-C2, che consente un'ampia gamma di funzionalità di controllo remoto, secondo Knownsec 404.