Aktor ancaman yang dikenal sebagai Bitter telah dinilai sebagai kelompok peretasan yang didukung negara yang bertugas mengumpulkan intelijen yang selaras dengan kepentingan pemerintah India.
Itu menurut temuan baru yang diterbitkan bersama oleh Proofpoint dan Threatray dalam analisis dua bagian yang lengkap.
“Toolset mereka yang beragam menunjukkan pola pengkodean yang konsisten di seluruh keluarga malware, khususnya dalam pengumpulan informasi sistem dan kebingungan string,” kata para peneliti Abdallah Elshinbary, Jonas Wagner, Nick Attfield, dan Konstantin Klinger.
Pahit, juga dikenal sebagai APT-C-08, APT-Q-37, Hazy Tiger, Orange Yali, T-OPT-17, dan TA397, memiliki sejarah fokus terutama pada entitas Asia Selatan, dengan intrusi terpilih juga menargetkan Cina, Arab Saudi, dan Amerika Selatan.
Pada bulan Desember 2024, bukti muncul dari penargetan ancaman aktor Turki menggunakan keluarga malware seperti WMrat dan Miyarat, yang menunjukkan ekspansi geografis bertahap.
Menyatakan bahwa pahit sering memilih “subset target yang sangat kecil,” Proofpoint mengatakan serangan itu ditujukan untuk pemerintah, entitas diplomatik, dan organisasi pertahanan sehingga memungkinkan pengumpulan intelijen tentang kebijakan luar negeri atau urusan saat ini.
Rantai serangan yang dipasang oleh grup biasanya memanfaatkan email phishing tombak, dengan pesan yang dikirim dari penyedia seperti 163[.]com, 126[.]com, dan protonmail, serta akun yang dikompromikan terkait dengan pemerintah Pakistan, Bangladesh, dan Madagaskar.
Aktor ancaman juga telah diamati menyamar sebagai pemerintah dan entitas diplomatik dari Cina, Madagaskar, Mauritius, dan Korea Selatan dalam kampanye ini untuk menarik penerima ke dalam keterikatan yang dilacak malware yang memicu penyebaran malware.
 |
| Tinjauan Rantai Infeksi Bitter |
“Berdasarkan konten dan dokumen umpan yang digunakan, jelas bahwa TA397 tidak memiliki keraguan dengan menyamar sebagai pemerintah negara lain, termasuk sekutu India,” kata perusahaan keamanan perusahaan.
“Sementara target TA397 dalam kampanye ini adalah entitas Turki dan Cina dengan kehadiran di Eropa, itu menandakan bahwa kelompok itu kemungkinan memiliki pengetahuan dan visibilitas ke dalam urusan sah Madagaskar dan Mauritius dan menggunakan materi dalam operasi tombak.”
Selain itu, pahit telah ditemukan untuk terlibat dalam aktivitas langsung dalam dua kampanye berbeda yang menargetkan organisasi pemerintah untuk melakukan kegiatan enumerasi lebih lanjut pada host yang ditargetkan dan menjatuhkan muatan tambahan seperti Kugelblitz dan Bdarkrat, .Net Trojan yang pertama kali didokumentasikan pada tahun 2019.
Ini fitur kemampuan Trojan akses jarak jauh standar seperti mengumpulkan informasi sistem, menjalankan perintah shell, mengunduh file, dan mengelola file pada host yang dikompromikan.
 |
| Keluarga malware Bitter |
Beberapa alat lain yang diketahui di gudang senjata ada di bawah ini –
- Artradownloaderpengunduh yang ditulis dalam C ++ yang mengumpulkan informasi sistem dan menggunakan permintaan HTTP untuk mengunduh dan menjalankan file jarak jauh
- Keyloggermodul C ++ yang digunakan dalam berbagai kampanye untuk merekam penekanan tombol dan konten clipboard
- WSCSPL Backdoorpintu belakang yang dikirim melalui Artradownloader dan mendukung perintah untuk mendapatkan informasi mesin, menjalankan instruksi jarak jauh, dan mengunduh dan menjalankan file
- MUUYDOWNLOADER (alias ZXXZ), Trojan yang memungkinkan eksekusi kode jarak jauh dari muatan yang diterima dari server jarak jauh
- Tikus AlmondTrojan .net yang menawarkan fungsionalitas pengumpulan data dasar dan kemampuan untuk menjalankan perintah sewenang -wenang dan mentransfer file
- Orpcbackdoorpintu belakang yang menggunakan protokol RPC untuk berkomunikasi dengan server perintah-dan-kontrol (C2) dan menjalankan instruksi yang dikeluarkan operator
- Kiwistealerpencuri yang mencari file yang cocok dengan satu set ekstensi yang telah ditentukan, lebih kecil dari 50 MB, dan telah dimodifikasi dalam setahun terakhir, dan mengekspresinya ke server jarak jauh
- Kugelblitzloader shellcode yang digunakan untuk menggunakan kerangka kerja Havoc C2
Perlu dicatat bahwa orpcbackdoor telah dikaitkan oleh tim yang diketahui 404 dengan aktor ancaman yang disebut misterius gajah, yang katanya tumpang tindih dengan kelompok ancaman yang selaras India lainnya, termasuk Sidewinder, Patchwork, Confucius, dan Bitter.
Analisis aktivitas langsung keyboard menyoroti “Jadwal Jam Kerja Senin hingga Jumat di Indian Standard TimeZone (IST),” yang juga konsisten dengan waktu ketika pendaftaran domain WHOIS dan penerbitan sertifikat TLS berlangsung.
“TA397 adalah aktor ancaman yang berfokus pada spionase yang sangat mungkin beroperasi atas nama organisasi intelijen India,” kata para peneliti. “Ada indikasi yang jelas bahwa sebagian besar aktivitas terkait infrastruktur terjadi selama jam kerja standar di zona waktu IST.”
