Hack Alerta

Campanha APT36 usa arquivos .lnk para atacar entidades indianas

Por Redação Hack Alerta Publicado em 31/12/2025 10:01 Riscos e Ameaças Tempo de leitura: 4 min

Pesquisadores da Cyfirma identificaram uma campanha atribuída ao APT36 que usa arquivos .pdf.lnk e mshta.exe para carregar um HTA remoto e executar um RAT em memória contra entidades governamentais indianas. A técnica inclui atalhos grandes com PDFs embutidos, decodificação em memória e comunicação C2 cifrada; não há números públicos de vítimas nem lista completa de IOCs.

APT36 (também conhecido como Transparent Tribe) iniciou uma campanha de espionagem que explora arquivos de atalho do Windows (.lnk) para comprometer entidades governamentais e estratégicas na Índia, segundo análise publicada pela Cyfirma.

Descoberta e escopo

A Cyfirma identificou uma operação de spear‑phishing que entrega um arquivo ZIP com o nome “Online JLPT Exam Dec 2025.zip”. O ZIP contém um item que aparenta ser um PDF (“Online JLPT Exam Dec 2025.pdf”), mas trata‑se na verdade de um atalho com dupla extensão (.pdf.lnk). O alvo declarado pelos pesquisadores são entidades governamentais e estratégicas indianas; a reportagem não traz números públicos de sistemas afetados.

Vetor e cadeia de execução

O ataque usa duas artimanhas para enganar o usuário: a extensão dupla, que faz o Windows ocultar o “.lnk”, e o tamanho anômalo do atalho — superior a 2 MB — obtido ao embutir uma estrutura de PDF e múltiplas imagens dentro do próprio arquivo LNK, tornando‑o mais convincente à inspeção visual.

Quando o alvo abre o falso PDF, o atalho instrui o Windows a executar mshta.exe a partir de System32, passando como argumento um script HTA remoto hospedado em uma URL identificada pela Cyfirma (ex.: https://innlive.in/assets/public/01/jlp/jip.hta). Em vez de abrir um documento, o sistema carrega esse HTA em uma janela oculta.

Payload e técnicas observadas

O HTA remoto faz o download e executa rotinas de decodificação (Base64 e XOR) em memória, produzindo dois blocos que os pesquisadores rotularam ReadOnly e WriteOnly. Segundo a análise, ReadOnly altera verificações de segurança do .NET e ajusta o runtime; WriteOnly carrega uma DLL cifrada que atua como um Remote Access Trojan (RAT) diretamente na memória.

Outros pontos técnicos destacados pela Cyfirma:

  • O malware opera primariamente em memória, reduzindo vestígios em disco.
  • Emprego de ferramentas legítimas do Windows (mshta.exe) para executar o estágio de carga.
  • Comunicação com servidores de comando e controle por canais cifrados.
  • Presença de uma pasta oculta chamada “usb” contendo um arquivo usbsyn.pim, possivelmente usado para dados adicionais ou etapas posteriores.

Impacto e limites da evidência

De acordo com a Cyfirma, o conjunto de técnicas indica uma campanha orientada a espionagem de longo prazo, com capacidades para controle remoto, exfiltração de dados e vigilância. A matéria descreve a arquitetura técnica e fornece exemplos de artefatos (como a URL do loader), mas não apresenta uma lista completa de IOCs (indicadores de comprometimento) nem uma contagem pública de vítimas comprometidas.

Assim, aspectos operacionais permanecem sem confirmação pública: não há informações abertas sobre o alcance real da infiltração, vetores adicionais usados na campanha, nem evidências independentes de impacto em órgãos específicos além da análise técnica divulgada.

Recomendações operacionais (conforme evidências)

Com base nas técnicas observadas, medidas pragmáticas para defesa incluem:

  • Bloquear ou monitorar o uso de mshta.exe em hosts sensíveis, especialmente quando invocado por documentos ou atalhos recebidos por e‑mail.
  • Inspecionar ativamente arquivos .lnk recebidos por canais externos e tratar com cautela atalhos que apresentem tamanho anômalo ou estrutura interna não típica.
  • Aplicar filtragem de URLs com base em reputação e bloquear domínios identificados como hosts de loaders (por exemplo, o host reportado pela análise), até que sejam investigados em sandbox.
  • Monitorar conexões criptografadas de endpoints para destinos não usuais e alertar sobre escaladas de privilégios ou execução de DLLs em memória por processos do sistema.
  • Integrar verificações de comportamento em memória e EDR com capacidades de detecção para carregamento de DLLs sem escrita em disco.

Repercussão e atribuição

A Cyfirma atribui a campanha ao APT36 / Transparent Tribe. A matéria técnica serve para detalhar táticas, técnicas e procedimentos (TTPs) observados, mas não substitui um comunicado oficial de resposta ou um relatório de incidentes com IOCs para bloqueio imediato. A análise pública carece de dados sobre vetores adicionais e extensão da intrusão.

O que falta saber: números de sistemas comprometidos, lista completa de IOCs, confirmações por autoridades indianas ou outras equipes de resposta e se há derivações da campanha visando outros países ou setores. A Cyfirma documentou artefatos e comportamento, mas não divulgou evidências de impacto massivo nem de exploração automatizada além do caso analisado.

Fonte: relatório técnico da Cyfirma, reproduzido e resumido pela equipe editorial.

Baseado em publicação original de Cyber Security News
Tags: #apt36 #lnk #malware #rat #mshta #spear-phishing #cyberespionagem #windows #seguranca
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar