El grupo APT36 comienza el 2026 con una evolución táctica, desplegando un Troyano de Acceso Remoto (RAT) basado en Python que se ejecuta directamente en la memoria para evadir los antivirus tradicionales.
Apenas iniciamos el año y la ciberguerra en el sur de Asia ya está activa. Investigadores de ciberseguridad han detectado una nueva campaña orquestada por Transparent Tribe (también conocido como APT36 o Mythic Leopard), un actor de amenazas vinculado a Pakistán, el grupo ha lanzado una ofensiva sofisticada dirigida específicamente contra entidades gubernamentales, instituciones académicas y sectores estratégicos de la India.
La Nueva Ciberarma: Un RAT “Invisible”
Lo más alarmante de esta campaña es la introducción de un nuevo RAT desarrollado en Python. A diferencia de sus herramientas anteriores (como Crimson RAT o CapraRAT), este nuevo malware está diseñado para ser sigiloso y difícil de rastrear.
Cadena de Infección:
- El Señuelo: El ataque comienza con un correo de spear-phishing que contiene un archivo ZIP.
- El Disfraz: Dentro del archivo comprimido, la víctima encuentra lo que parece ser un documento PDF inofensivo. En realidad, es un archivo de acceso directo de Windows (LNK) manipulado.
- La Ejecución “Fileless”: Al hacer doble clic, el archivo LNK no abre un PDF real inicialmente. En su lugar, abusa de la herramienta legítima de Windows mshta.exe para ejecutar un script HTA (HTML Application).
- Carga en Memoria: Este script descifra y carga el RAT final directamente en la memoria RAM del sistema, evitando escribir el archivo malicioso en el disco duro para burlar los escaneos de seguridad.
- La Distracción: Simultáneamente, el malware descarga y abre un documento PDF “señuelo” real para que la víctima no sospeche nada.
Innovación Técnica: Abuso de MSBuild
Los atacantes también están utilizando MSBuild (Microsoft Build Engine), una plataforma de compilación legítima de .NET, para desplegar un “dropper” que instala y lanza el entorno de Python necesario para que el RAT funcione.
Una vez activo, el RAT permite a los operadores de Transparent Tribe:
- Ejecutar módulos de Python de forma remota.
- Cargar y descargar archivos confidenciales.
- Ejecutar comandos arbitrarios en la terminal del sistema comprometido.
Objetivos y Contexto
Esta campaña confirma dos tendencias preocupantes para el 2026:
- Persistencia Geopolítica: APT36 mantiene su obsesión con la inteligencia india, buscando robar secretos de estado e investigación académica.
- Evolución a Multiplataforma: El uso de lenguajes como Python (y recientemente Go y Rust en otras campañas como DeskRAT) indica que el grupo busca que su malware sea capaz de infectar no solo Windows, sino también sistemas Linux y macOS en el futuro cercano.
Recomendaciones
- Bloquear archivos LNK: Configurar los filtros de correo para poner en cuarentena archivos adjuntos con extensiones .lnk, especialmente si vienen dentro de archivos ZIP.
- Monitoreo de mshta.exe: Vigilar la ejecución de procesos mshta.exe que realicen conexiones de red inusuales.
- Educación: Recordar a los empleados que los documentos PDF reales nunca piden permisos de ejecución ni disparan alertas de seguridad al abrirse.
