Transparent Tribeとして知られるハッキンググループが、インドの政府機関、研究機関、戦略的に重要な組織を標的とした新たなサイバー諜報活動の波を開始しました。攻撃者の主な武器は、侵害されたシステム内に永続的な足場を維持するよう設計された、リモートアクセス型トロイの木馬(RAT)の別バリアントです。
Cyfirmaによると、今回のキャンペーンは、WindowsのショートカットがPDF文書に偽装された形で含まれる添付アーカイブを伴うフィッシングメールから始まります。被害者の端末でファイルが開かれると、mshta.exeを介してHTAスクリプトが実行されます。このスクリプトは悪意のあるペイロードを復号してメモリ上に直接読み込み、同時に囮のPDFファイルを開いて疑念を抱かせないようにします。
実行中、スクリプトはActiveXオブジェクトを通じてOSとやり取りし、システムの各種パラメータをプロファイルして、特定の環境に合わせて動作を動的に適応させます。この適応ロジックにより、悪意あるコード実行の信頼性が大幅に高まります。
特に注目すべきは永続化の仕組みです。マルウェアはインストールされているアンチウイルスソフトを調査し、それに応じて異なる手法を選択します。Kaspersky Lab製品が検出された場合は、隠しディレクトリを作成して暗号化ファイルをそこに保存し、スタートアップのショートカット経由で起動します。Quick Healの場合、同じHTAスクリプトを呼び出すバッチファイルを生成します。Avast、AVG、またはAviraが存在する場合は、悪意のあるファイルをスタートアップフォルダへ直接コピーします。アンチウイルスソフトが見つからない場合、マルウェアはスクリプトとレジストリ改変の組み合わせを用います。
中核となる悪意あるコンポーネント――iinneldc.dllという名称のライブラリ――は、本格的な諜報機能を実行します。システムの制御、ファイル操作、データの傍受、スクリーンショットの取得、コマンドライン経由でのコマンド実行が可能です。
このキャンペーンに加え、同グループは、公式の政府文書を装ったショートカットを用いる別の最近の作戦にも関連付けられています。NCERT-Whatsapp-Advisory.pdf.lnkと題された悪意あるファイルは、aeroclubofindia.co[.]inというドメインに関連するWebサイトからインストーラをダウンロードします。実行されると、悪意あるライブラリと遅延実行される実行ファイルが抽出され、被害者の端末に書き込まれます。永続化は、レジストリエントリを変更して主要な実行ファイルがシステム起動のたびに実行されるようにするVBScriptによって確立されます。
注目すべきことに、表示されるPDF文書は実際には正規の勧告であり、WhatsAppを介したマルウェア配布について警告する内容として、2024年にパキスタンで公開されたものです。この手口は添付ファイルの信頼性を高め、被害者が開く可能性を上げるために用いられます。
展開されたライブラリの一つは、2025年春に登録されたドメインを持つコマンド&コントロール(C2)サーバーとの通信を確立します。サーバーは現在非アクティブですが、システムに埋め込まれた永続化メカニズムにより、攻撃者が感染端末の制御を取り戻すことは容易です。
このライブラリはGETリクエストを介してサーバーと通信し、システム登録、定期的なビーコン送信、新たなコマンドの取得を処理します。シグネチャベースの検知を回避するため、すべてのリクエストはURL内の文字列を逆順にすることで難読化されています。マルウェアはアンチウイルス製品の有無も確認し、偵察能力をさらに拡張するとともに、周囲の環境に合わせて挙動を微調整できるようにしています。
総合すると、これらの活動は、Transparent Tribeが依然として粘り強く体系的な敵対者であり、インドの政府および研究機関の標的から情報を収集することに一貫して注力していることを示しています。
