محققان امنیت سایبری جزئیات یک کمپین فیشینگ نیزهای را که احتمالاً توسط نیروهای همسو با پاکستان انجام شده است، افشا کردهاند. کپی جانبی گروهی که وزارت مالیه افغانستان را با یک تروجان دسترسی از راه دور منبع باز هدف قرار داده است نامیده شد Xeno RAT.
دیکسیت پانچال، محقق Seqrite Labs، “این کمپین با یک تحویل فیشینگ نیزه ای باز می شود – یک بایگانی ZIP حاوی یک فایل LNK مخرب حاوی نام فایل به زبان پشتو که با دقت ساخته شده است.” گفت در تفکیک فنی فعالیت
همچنین به عنوان بخشی از این کمپاین، ادارات عواید و مالی استانی، مقامات دولتی پشتو زبان و کارمندان دولتی در سطح استان هدف قرار گرفته اند. این کمپین با نام رمز عملیات XENOFISCAL شناخته شده است.
انتخاب پشتو برای پرونده تطمیع یک انتخاب عمدی از سوی مهاجم است، زیرا این زبان اصلی است که در محافل دولت افغانستان صحبت می شود. این جنبه نشان دهنده آشنایی مهاجم با محیط هدف است.
SideCopy نامی است که به یک گروه تهدید مرتبط با پاکستان داده شده است که تحت چتر گسترده تر Clear Tribe (معروف به APT36) فعالیت می کند و از طیف گسترده ای از خانواده بدافزارها برای سرقت داده های حساس از میزبان های در معرض خطر استفاده می کند. در آوریل 2025، دشمن بود نسبت داده شده است به مجموعهای از حملاتی که بخشهای مختلف هند را با Xeno RAT، Spark RAT و CurlBack RAT هدف قرار میدهند.
از این منظر، جدیدترین کمپین ادامه مجموعه وسیعتری از فعالیتهای مخرب سایبری است که هدف نهادهای آسیای جنوبی است.
پس از اجرا، فایل میانبر ویندوز (LNK) از “mshta.exe” استفاده می کند تا یک برنامه HTML راه دور (HTA) را از یک دامنه آموزشی افغانستان در معرض خطر قرار دهد، که منجر به اجرای جاوا اسکریپت مبهم در حافظه می شود. این بدافزار همچنین با تقلید از Microsoft Edge، پایداری مبتنی بر رجیستری را ایجاد میکند، در حالی که Xeno RAT 1.8.7 و یک سند فریبنده را به عنوان مکانیزم حواسپرتی با استفاده از یک لودر مبتنی بر DLL حذف میکند.
Xeno RAT برای اتصال با یک سرور راه دور از طریق TCP برای کنترل دستورات ارسال شده توسط اپراتور طراحی شده است. این بدافزار برای بارگیری و اجرای ماژولهای DLL خارجی، انتقال دادهها به سرور، راهاندازی بدافزار از طریق یک کار برنامهریزیشده، بازیابی اطلاعات آنتیویروس، پشتیبانی از تونلسازی شبکه مبتنی بر پروکسی SOCKS5، انجام عملیات فایل، ضربههای کلید ورود به سیستم، گرفتن اسکرینشات، نظارت بر کلیپبورد، ردیابی وبکم/میکروفون، حذف روشهای حذف و ماندگاری میزبان مجهز است.
این افشاگری در حالی صورت میگیرد که جزئیات عملیات فیشینگ هدفمند با استفاده از فایلهای دسکتاپ لینوکس تسلیحشده برای هدف قرار دادن زیرساختهای نظامی هند با استفاده از فریبهای مرتبط با قرارداد مرتبط با عملیات خرید خودروهای زرهی هند، آشکار شده است. این کمپین حاصل کار ارزیابی شده است قبیله شفاف.
RD Tarun، محقق امنیتی، گفت: «به نظر میرسد این کمپین افراد مرتبط با اکوسیستمهای زیرساختهای نظامی و دفاعی هند را با استفاده از مهندسی اجتماعی مبتنی بر واتساپ و تحویل مرحلهای پوسته هدف قرار میدهد. گفت در گزارشی که ماه گذشته منتشر شد.
پس از اجرا، راهانداز دسکتاپ مخرب یک زنجیره عفونت مبتنی بر پوسته به شدت مبهم را آغاز میکند که شامل بازیابی مرحلهای محموله، روالهای رمزگشایی درون خطی، و استقرار یک ایمپلنت ELF مبتنی بر Golang است که در این گزارش ردیابی شده است. DeskRAT“
