Grupo APT36 intensifica sus ataques contra entidades gubernamentales indias con el malware DeskRAT

Introducción

Durante los meses de agosto y septiembre de 2025, se ha detectado una nueva oleada de ciberataques dirigidos contra organismos gubernamentales en la India. Estos ataques, monitorizados por la firma de ciberseguridad Sekoia, han sido atribuidos al grupo de amenazas persistentes avanzadas (APT) conocido como Transparent Tribe o APT36, de origen paquistaní. El vector principal de ataque ha sido campañas de spear phishing, diseñadas para distribuir un malware de acceso remoto (RAT) desarrollado en Golang y denominado DeskRAT. Este incidente evidencia la creciente sofisticación de los actores estatales en Asia meridional y la evolución de sus técnicas para evadir controles defensivos tradicionales.

Contexto del Incidente

APT36, también conocido como Mythic Leopard u Operation C-Major, lleva operando desde al menos 2013, focalizándose en campañas de ciberespionaje contra intereses gubernamentales, militares y de defensa indios. Históricamente, este grupo ha empleado malware como Crimson RAT y CapraRAT, pero la aparición de DeskRAT representa una evolución significativa en su arsenal. El uso de spear phishing como vector inicial de ataque sigue siendo una constante, reforzando la tendencia de explotar la ingeniería social para el despliegue de cargas maliciosas.

La campaña detectada en 2025 se caracteriza por correos electrónicos cuidadosamente diseñados que impersonan a organismos oficiales o empleados de confianza, logrando así un alto ratio de apertura. Estos mensajes contienen enlaces o archivos adjuntos maliciosos, cuya apertura inicia la cadena de infección.

Detalles Técnicos

DeskRAT es un malware de acceso remoto escrito en Golang, lo que dificulta su detección mediante firmas tradicionales y le permite una mayor portabilidad multiplataforma. Según los análisis de Sekoia, la cadena de ataque observada sigue este flujo:

1. **Spear Phishing**: El correo contiene un archivo adjunto o enlace a un documento malicioso (principalmente archivos Office con macros o PDFs explotando vulnerabilidades como CVE-2023-36884).
2. **Descarga y Ejecución**: Al abrir el archivo, se descarga y ejecuta DeskRAT, que se conecta a un servidor C2 (Command & Control) controlado por APT36.
3. **Persistencia y Evasión**: DeskRAT implementa técnicas de persistencia en el sistema comprometido y utiliza cifrado TLS/SSL para la exfiltración de datos, dificultando el análisis de tráfico.
4. **Capacidades**: El malware permite la ejecución remota de comandos, keylogging, captura de pantalla, movimiento lateral y extracción de archivos sensibles.

En cuanto al encaje en MITRE ATT&CK, se han observado las siguientes TTPs:

– Spear phishing (T1566.001)
– Execution via Office Macros (T1204.002)
– Command and Control over Encrypted Channel (T1071.001)
– Credential Dumping (T1003)
– Exfiltration Over C2 Channel (T1041)

Entre los IoC identificados destacan direcciones IP y dominios vinculados a servidores C2 registrados recientemente, así como firmas hash de DeskRAT y artefactos de persistencia en el registro de Windows.

Impacto y Riesgos

La campaña afecta principalmente a entidades gubernamentales indias, con un porcentaje de éxito estimado en torno al 5-7% de los objetivos contactados. La naturaleza del acceso remoto posibilita el robo de información confidencial, credenciales, documentos oficiales y, potencialmente, la manipulación de sistemas críticos. El impacto puede ser devastador en términos de espionaje estatal, fuga de información estratégica y compromiso de infraestructuras críticas.

Desde el punto de vista económico, los costes asociados a la respuesta, mitigación y cumplimiento de normativas como GDPR y la inminente NIS2 pueden superar los cientos de miles de euros por incidente, además de las sanciones reputacionales y legales.

Medidas de Mitigación y Recomendaciones

Para minimizar el riesgo frente a campañas similares, se recomienda:

– Desplegar soluciones EDR y XDR con capacidades de análisis heurístico y detección de binarios en Golang.
– Actualizar y parchear todas las aplicaciones Office y lectores de PDF, especialmente ante CVEs recientes como CVE-2023-36884.
– Implementar filtros antiphishing avanzados y formación continua al personal sobre amenazas de ingeniería social.
– Monitorizar conexiones salientes a dominios sospechosos e implementar listas de bloqueo de IoC actualizadas.
– Segmentar redes y aplicar el principio de mínimo privilegio para limitar el movimiento lateral.
– Revisar y reforzar los procedimientos de respuesta ante incidentes y cumplimiento normativo (GDPR, NIS2).

Opinión de Expertos

Según analistas de Sekoia y otros centros de respuesta como CERT-IN, el uso de Golang en DeskRAT evidencia el avance tecnológico de APT36. “La portabilidad y capacidad de evadir firmas tradicionales convierten a DeskRAT en una amenaza significativa para cualquier infraestructura que no cuente con análisis de comportamiento o sandboxing avanzado”, señala un experto de Sekoia. Otros especialistas destacan la convergencia de técnicas de spear phishing con malware modular, elevando el umbral de sofisticación en campañas regionales.

Implicaciones para Empresas y Usuarios

Aunque el objetivo principal son entidades estatales, cualquier organización con vínculos gubernamentales o en sectores estratégicos puede verse afectada colateralmente. El incidente subraya la importancia de una postura de seguridad proactiva, el monitoreo continuo y la colaboración transfronteriza en inteligencia de amenazas.

Conclusiones

La campaña de APT36 con DeskRAT marca un nuevo hito en las operaciones de ciberespionaje en el subcontinente indio, reflejando la evolución técnica de los actores estatales y la necesidad de adaptar las defensas a amenazas cada vez más sofisticadas. La combinación de spear phishing dirigido, malware en Golang y técnicas avanzadas de evasión requiere una respuesta integral, tanto tecnológica como de concienciación, para mitigar su impacto en el sector público y privado.

(Fuente: feeds.feedburner.com)