APT 36: Современные стратегии кибершпионажа и расширение угроз

Группа APT 36, широко известная под псевдонимом Transparent Tribe, представляет собой одну из наиболее активных и технологически продвинутых угроз в сфере кибершпионажа в Южной Азии. Базирующаяся в Пакистане, эта организация действует как минимум с 2013 года, специализируясь на целевых атаках в отношении индийских государственных структур, военных и оборонных подрядчиков. Последние исследования свидетельствуют о значительной эволюции в тактиках и инструментарии APT 36, а также расширении географии и спектра жертв.

Новые цели и методы атак

Ранее группа в основном фокусировалась на государственных органах и оборонном секторе Индии, однако с недавних пор стала активно атаковать и образовательные учреждения страны. Очередной пример – масштабная кампания, проходившая на фоне террористической атаки в Пахалгаме 22 апреля 2025 года. В этот период APT 36 развернула комплексные фишинговые операции, направленные на сотрудников индийского правительства и Министерства обороны.

• Использование поддельных PDF-файлов и документов с макросодержанием, замаскированных под официальные материалы.
• Создание фальшивых доменов, имитирующих сайты полиции Джамму и Кашмира и военно-воздушных сил Индии.
• Внедрение Crimson RAT – программного обеспечения, обеспечивающего полный удалённый доступ и крадущего данные.

Тактика социальной инженерии и вредоносная реклама

APT 36 активно применяет сложные сценарии социальной инженерии, используя реальные события и эмоционально заряженные истории, связанные с геополитическими конфликтами, что существенно повышает эффективность фишинговых кампаний. Особое внимание уделяется продвижению вредоносных ресурсов через:

• Google рекламу, продвигающую поддельные домены, маскирующиеся под официальный портал многофакторной аутентификации Kavach.
• Вредоносные бэкдоры, включая новые инструменты вроде Limepad, призванные красть учетные данные государственных служащих.

Технический прогресс и расширение инструментов

Инструментарий группы демонстрирует значительный технический прогресс. APT 36 активно использует кроссплатформенные средства, разработанные на Python, Golang и Rust, что позволяет им эффективно атаковать как Windows-, так и Linux-системы. Среди свежих образцов – инструмент на Golang с возможностями фильтрации файлов и удалённого выполнения команд, что свидетельствует о переходе к более сложным и продвинутым вредоносным программам.

Новые вредоносные программы включают:

• ElizaRAT – обновленная версия шпионского ПО;
• Poseidon – вредоносное ПО, ориентированное на Linux;
• Усовершенствованные версии Crimson RAT.

Механизмы доставки и стратегии сокрытия

APT 36 использует разнообразные методы доставки вредоносного кода:

• Фишинговые письма с вложениями в виде PDF и Office-документов с макросами и OLE-встроенными файлами.
• Упаковка скомпрометированных двоичных файлов с помощью инструментов типа PyInstaller и архивов VHDX для повышения скрытности.

Для обеспечения устойчивости в среде жертвы злоумышленники применяют:

• Запланированные задачи и изменение папок автозагрузки;
• Сценарии входа в систему;
• Проверку часовых поясов, ограничивающую выполнение вредоносного ПО только устройствами, находящимися в Индии – это снижает риск выявления в других регионах.

Использование легальных сервисов для коммуникации и утечки данных

Одна из характерных особенностей APT 36 – активное применение официальных веб-сервисов, что затрудняет обнаружение и анализ вредоносной активности. Группа использует:

• Google Drive;
• Telegram;
• Discord;
• Slack.

Эти платформы служат как каналы управления (C2) и передачи украденных данных, что позволяет злоумышленникам оставаться незаметными для традиционных средств защиты.

Заключение

APT 36 продолжает доказывать свою репутацию одной из наиболее технологически оснащенных и методически продвинутых группировок в регионе. Рост сложности инструментов и расширение спектра целей, включая госструктуры и образовательные учреждения Индии, свидетельствуют о постоянном совершенствовании угрозы. Для организаций, работающих в потенциально уязвимых секторах, крайне важна повышенная готовность к отражению таких многоаспектных атак.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.