APT36として知られるパキスタン関連のサイバー諜報グループ「Transparent Tribe」は、攻撃対象を拡大し、特にサイバーセキュリティ企業を中心に、急成長するインドのスタートアップ・エコシステムを狙っている。
AcronisのThreat Research Unit (TRU)は、2026年2月の報告書でこのキャンペーンを詳述し、特定の標的に合わせたフィッシングを通じて配布されるCrimson RATマルウェアの使用を指摘した。
Transparent Tribeは2013年から活動しており、インドやアフガニスタンなど南アジア諸国に焦点を当ててきた。
同グループは通常、政府、防衛、教育、軍事関連のイベントをテーマにしたソーシャルエンジニアリングの誘い文句を用い、当局者や組織をスパイする。
悪意のあるLNKファイル、ISOコンテナ、HTAスクリプト、ZIPアーカイブなどの単純なペイロードを展開し、Crimson RATやGymRATといったリモートアクセス型トロイの木馬を投下することが多い。
今回の新たな活動は、オープンソース・インテリジェンス(OSINT)およびサイバーセキュリティ分野のスタートアップを狙う点で従来からの逸脱を示す。TRUは、2025年10月以降の過去キャンペーンと一致するマルウェア、インフラ、戦術が確認されたとして、高い確度でTransparent Tribeによるものだと評価している。
キャンペーンは、「MeetBisht.iso」のようなISOファイルを含むスピアフィッシングメールから始まる。これは信憑性を高めるため、スタートアップ創業者の名前にちなんで命名されている。
ISOを開くと、偽のExcelショートカット(「Meet Bisht.xlsx.lnk」)、おとり文書、バッチ実行スクリプト(「mycsd.bat」)、そして「excel.exe」に偽装したCrimson RATのペイロードが現れる。
LNKは最小化されたコマンドプロンプト経由でバッチファイルを起動し、おとりを表示しながらファイルをC:\ProgramData\および%APPDATA%にコピーする。さらに、PowerShellでMark of the Webフラグを除去してSmartScreenを回避し、その後RATをひそかに実行する。
おとりには、SISの法執行機関向けにOSINTツールを提供するVoldebugのような実在のスタートアップが言及されている。これは攻撃者が、インド政府の安全保障の取り組みを支援する企業に関する情報を狙っていることを示唆する。
Crimson RATは34MBの肥大化した.NET製トロイの木馬で、スキャナーや解析上限を回避するために不要データで水増しされている。中核コードはごく小さく(80~150KB)、ランダム化された名前、難読化された文字列、そして93.127.133.9:443のようなハードコードされたC&Cサーバー上で動作する独自のTCPプロトコルの背後に隠されている。
このRATはシステム情報、ユーザー名、AVの詳細、ネットワークデータを収集する。画面録画、ウェブカメラのストリーミング、マイク音声の取得、ファイルの検索/転送/削除、プロセスの強制終了、コマンド実行を可能にする。
C&Cは、GymRATを用いた政府機関への攻撃で使用されたドメインcertstorein.shopなど、過去のTransparent Tribeの作戦と結び付く。「Evidance.pdf.lnk」(「Evidence」の誤綴り)といったファイル名を手掛かりにしたピボットにより、他のおとりとも関連付けられる。
VirusTotalにインドからアップロードされたサンプルは、一貫したTTPを示している。Acronis EDR/XDRはこれをブロックする。
この方向転換は、政府との結び付きがあることから、スタートアップが新たな諜報の獲物として注目されていることを浮き彫りにする。防御側はISO/LNKファイルをスキャンし、異常なバッチ/PowerShellの活動を監視し、列挙されたIoCをブロックすべきだ。
Transparent Tribeがツールを再利用していることは、再発明ではなく進化を示しており、インドのテックセクターにおける警戒を促している。
翻訳元: https://cyberpress.org/transparent-tribe-targets-startups/