Il gruppo di cyber spionaggio noto come SideWinder è stato recentemente collegato a una nuova campagna di attacchi informatici che prende di mira strutture marittime situate nell'Oceano Indiano e nel Mar Mediterraneo. Il team di Ricerca e Intelligence di BlackBerry ha scoperto questa attività, rivelando che gli obiettivi includono nazioni come Pakistan, Egitto, Sri Lanka, Bangladesh, Myanmar, Nepal e Maldive.

SideWinder, noto anche come APT-C-17, Baby Elephant, Hardcore Nationalist, Leafperforator, Rattlesnake e Razor Tiger, è affiliato all'India e opera dal 2012. Questo gruppo utilizza frequentemente tecniche di spear-phishing per consegnare payload malevoli che innescano catene di attacco. Secondo l'azienda di cybersecurity canadese, "SideWinder fa uso di spear-phishing via email, sfruttamento di documenti e tecniche di DLL side-loading per evitare il rilevamento e consegnare impianti mirati".

Gli attacchi più recenti utilizzano esche relative a molestie sessuali, licenziamenti di dipendenti e tagli salariali per influenzare negativamente lo stato emotivo delle vittime, inducendole ad aprire documenti Microsoft Word trappola. Una volta aperto il file esca, viene sfruttata una vulnerabilità di sicurezza nota (CVE-2017-0199) per stabilire un contatto con un dominio malevolo che si maschera come la Direzione Generale dei Porti e della Navigazione del Pakistan ("reports.dgps-govtpk[.]com") per recuperare un file RTF.

Il documento RTF, a sua volta, scarica un documento che sfrutta CVE-2017-11882, una vecchia vulnerabilità di sicurezza nell'Editor di Equazioni di Microsoft Office, con l'obiettivo di eseguire shellcode responsabile del lancio di codice JavaScript, ma solo dopo aver verificato che il sistema compromesso sia legittimo e di interesse per l'attore della minaccia. Attualmente non è noto cosa venga consegnato tramite il malware JavaScript, sebbene l'obiettivo finale sia probabilmente la raccolta di informazioni, basandosi su campagne precedenti condotte da SideWinder.

Secondo BlackBerry, "L'attore della minaccia SideWinder continua a migliorare la sua infrastruttura per colpire vittime in nuove regioni. L'evoluzione costante della sua rete infrastrutturale e dei payload di consegna suggerisce che SideWinder continuerà i suoi attacchi nel prossimo futuro". La rivelazione arriva mentre un attore della minaccia, sospettato di essere collegato alla Russia, sta prendendo di mira entità interessate agli affari politici indiani con un trojan di accesso remoto (RAT) basato su Go, consegnato tramite un loader .NET lanciato da file di collegamento di Windows (LNK) mascherati da documenti Office. Questa attività è stata codificata come Operazione ShadowCat.