El infame grupo de hackers paquistaní (APT36) abandona temporalmente sus objetivos tradicionales de defensa para infiltrarse en empresas tecnológicas emergentes, utilizando identidades robadas de fundadores reales.
Si trabajas en una startup tecnológica en la India, especialmente en el sector de seguridad o inteligencia, eres el nuevo blanco. Hoy 6 de febrero de 2026, un giro inesperado en las operaciones del grupo Transparent Tribe (también conocido como Mythic Leopard o APT36).
Conocidos históricamente por espiar a militares y funcionarios gubernamentales indios usando “Honey Traps” (trampas románticas), el grupo ha evolucionado. Ahora están ejecutando una campaña de Spear Phishing altamente sofisticada dirigida a startups de ciberseguridad y proveedores de servicios para fuerzas policiales, buscando robar propiedad intelectual y accesos a infraestructuras críticas.
El Cebo: “MeetBisht.iso” y Fundadores Falsos
La campaña destaca por su calidad en ingeniería social.
- Suplantación de Identidad: Los atacantes no usan correos genéricos. Han investigado a fondo a fundadores de startups reales, utilizando sus nombres y credenciales para enviar correos que parecen propuestas de negocios legítimas o documentos de colaboración.
- El Archivo ISO: El vector de ataque principal es un archivo contenedor llamado MeetBisht.iso.
- Dentro del ISO, hay un acceso directo (.lnk) disfrazado con el icono de Excel.
- También contiene una carpeta oculta con tres elementos: un documento señuelo para distraer a la víctima, un script por lotes (.bat) y la carga útil del malware.
El Arsenal Técnico: Crimson RAT “Inflado”
El malware elegido sigue siendo su herramienta insignia, Crimson RAT, pero con nuevas técnicas de evasión de antivirus:
- Inflado de Archivos (Binary Bloating): El ejecutable malicioso real pesa solo unos 150 KB, pero los atacantes lo han “inflado” artificialmente con datos basura hasta alcanzar los 34 MB.
- ¿Por qué? Muchos escáneres de seguridad y sandboxes automatizados tienen límites de tamaño de archivo para optimizar el rendimiento. Si el archivo es demasiado grande, a veces simplemente lo dejan pasar sin analizarlo.
- Persistencia “Dura”: El script de instalación crea un enlace duro (hard-link) del ejecutable en una carpeta de sistema confiable y utiliza PowerShell para silenciar las advertencias de seguridad de Windows antes de ejecutarse.
¿Qué hace Crimson RAT?
Una vez dentro, este Troyano de Acceso Remoto convierte la PC de la startup en un espía perfecto:
- Vigilancia Total: Captura pantallas y graba audio del micrófono ambiental.
- Robo de Datos: Exfiltra archivos de diseño, código fuente y bases de datos de clientes.
- Comunicación C2: Se conecta a servidores de comando y control en puertos no estándar (como 18661, 29261) para recibir nuevas órdenes.
¿Por qué Startups?
Atacar a una startup que provee servicios a la policía o al gobierno es un ataque a la cadena de suministro. Estas empresas suelen tener acceso privilegiado a redes gubernamentales pero, a menudo, carecen de las defensas de grado militar que tienen sus clientes finales.
Recomendación
Los equipos de seguridad deben configurar sus filtros de correo para bloquear o poner en cuarentena automáticamente cualquier archivo adjunto con extensión .iso, .img o .vhd, ya que rara vez se usan para negocios legítimos por correo electrónico y son el envoltorio favorito de los APTs actuales.
