Os atores de ameaças cibernéticas lançaram operações sofisticadas de phishing destinadas a funcionários militares e governamentais no sul da Ásia, alavancando iscas relacionadas à defesa para distribuir arquivos e aplicações maliciosas.
Detecções recentes incluem arquivos postais como “Coordenação da visita do chefe do exército à China.zip”, que contêm PDFs compactados projetados como chamarizes de phishing.
Esses documentos, após a extração, redirecionam os usuários para domínios fraudulentos hospedados em plataformas como Netlify, imitando entidades legítimas como o Exército de Bangladesh, a Direção Geral de Compra de Defesa (DGDP) e as empresas de defesa turca.
Análise revela JavaScript incorporado que tenta obstruir a visualização do código -fonte, uma tática observada em várias campanhas.
Girando em nomes de arquivos semelhantes, hashes MD5 e URLs incorporados descobre um aglomerado de artefatos de phishing, incluindo aqueles com temas em torno de feiras de defesa internacional como o IDEF 2025 e visitas dos países do Golfo.
Essas iscas levam a páginas de colheita de credenciais que falsificam sistemas oficiais de email, como o Mail-Mod-Gov-BD-Account-conf-Files.netlify.app, finalmente canalizando dados roubados para comando e controle secundário (C2) como o Mailbox3-bbox1-bd.com.
Ratos Android modificados
A operação se estende além do phishing à espionagem móvel, com atores implantando versões modificadas do rato Rafel de código aberto Arquivos apk Hospedado em domínios como UPDATEMIND52.com.
Amostras como Love_Chat.apk (MD5: 9A7510E780EF40D63CA5AB826B1E9DAB) Masquerade como Chat ou Dating Apps, incorporando chamarizes de sites como LoveHabibi.com ou ISexychat.com para evitar suspeitos.
A decompilação mostra que esses aplicativos são upload dados sensíveis incluindo documentos, SMS, contatos e mídia de dispositivos infectados a pontos de extremidade C2 como quickhelpsolve.com/public/commands.php.
Permissões concedidas ao malware, como add_device_admin, read_external_storage e read_contacts, permitem acesso persistente, execução de comando remoto e compromisso completo do dispositivo.
Os pivôs na infraestrutura compartilhada de C2, incluindo o kutcat-rat.com, revelam uma rede de APKs relacionados como pvtchat.apk e votação.apk, frequentemente usando o timestamps do UNIX (por exemplo, correspondente a 28 de março de 2025) em páginas de destino para sincronização.
O Whois Data vincula e-mails de registrantes como noranaramly30121982@yahoo.com em domínios como play-googyle.com e mailserver lk.com, anteriormente associados ao prolífico phishing.
Os painéis C2, indexados publicamente e agora desativados, expuseram conteúdo roubado de vítimas principalmente na Índia, Bangladesh, Paquistão e Nepal, com livros de endereços indicando afiliações militares por meio de fileiras e estações de serviço.
Sobreposições de plataforma cruzada
Esta campanha demonstra táticas de plataforma cruzada, com amostras de malware do Windows como EX_AMAN-2025.ZIP roteando os mesmos C2s que os ratos Android, incluindo UpdateMind52.com e play-woogyle.com.
Atribuições de fornecedores, como o UNK_armyDrive do Proofpoint, alinham -se com fontes de fontes como Hunt IO e analistas do Twitter, apontando para atores que se assemelham ao Sidewinder Apt, conhecido por visar militares do sul da Ásia.
Os leads de caça incluem caminhos PDB como C: Usuários Android Desktop Full Working With All e URL Encrypt X64 Release ConsoleApplication1.pdb e seqüências de rede contendo “ghijkl”.
A reutilização de mensagens de erro, registros de data e hora de codificação e detalhes do registrante facilita o agrupamento, destacando uma ameaça persistente aos setores de defesa.
Em 22 de agosto de 2025, essas ferramentas destacam o uso em evolução do malware de commodities para espionagem direcionada, instando aprimoramento de segurança móvel e conscientização de phishing em ambientes de alto risco.
Indicadores -chave de compromisso (IOCs)
| Tipo | Indicador | Descrição |
|---|---|---|
| Hash Md5 | 9A7510E780EF40D63CA5AB826B1E9DAB | Love_chat.apk (rato Android) |
| Domínio | updatemind52.com | Hospeda apks e phishing |
| Domínio | quickhelpsolve.com | C2 para exfiltração de dados |
| Domínio | kutcat-rat.com | Painel de ratos Rafel modificado |
| noranaramly30121982@yahoo.com | Registrante de domínio | |
| Caminho do PDB | C: Usuários Android Desktop Full Working With All e URL Encrypt X64 Release ConsoleApplication1.pdb | Artefato de malware |
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!