2 de junho de 2026

SideCopy executa Operation XENOFISCAL contra Ministério das Finanças do Afeganistão

2 de junho de 2026

Grupo SideCopy, ligado ao Paquistão e parte da APT36, conduz campanha de espionagem (Operation XENOFISCAL) contra o Ministério das Finanças do Afeganistão usando spear-phishing em pashto e o trojan Xeno RAT 1.8.7.

Campanha SideCopy contra Ministerio das Financas do Afeganistao com Xeno RAT

O grupo SideCopy, ligado ao Paquistão e operando sob o guarda-chuva da APT36 (Transparent Tribe), executa uma nova campanha de espionagem cibernética batizada de Operation XENOFISCAL contra o Ministério das Finanças do Afeganistão e órgãos provinciais de receita, distribuindo o Xeno RAT 1.8.7 por meio de spear-phishing em pashto. O vetor é um arquivo LNK malicioso dentro de um ZIP, que aciona mshta.exe para baixar um HTA remoto a partir de um domínio educacional afegão comprometido.

O que aconteceu

Pesquisadores do Seqrite Labs detalharam uma operação de espionagem direcionada a autoridades do governo afegão, em particular ao Ministério das Finanças, com a entrega do trojan de acesso remoto Xeno RAT — um RAT de código aberto popular entre atores de baixo a médio nível de sofisticação. A campanha foi denominada Operation XENOFISCAL.

Além do ministério, também figuram entre os alvos diretorias provinciais de receita e finanças, funcionários públicos falantes de pashto e empregados em nível provincial. A escolha do idioma pashto nos arquivos-isca é deliberada: trata-se da língua dominante nos círculos do governo afegão, o que demonstra familiaridade do atacante com o ambiente operacional do alvo.

O SideCopy é um cluster atribuído ao Paquistão e considerado parte do guarda-chuva mais amplo da Transparent Tribe (também conhecida como APT36). Em abril de 2025, o mesmo grupo foi associado a ataques contra setores indianos utilizando uma combinação de Xeno RAT, Spark RAT e CurlBack RAT, o que reforça o padrão de atividade contra alvos sul-asiáticos.

Como o ataque funciona

A cadeia de infecção começa com um e-mail de spear-phishing carregando um arquivo ZIP. Dentro, um atalho do Windows (LNK) com nome de arquivo cuidadosamente construído em pashto serve como gatilho inicial. Quando executado, o LNK invoca mshta.exe para baixar um HTML Application (HTA) hospedado em um domínio educacional afegão previamente comprometido, levando à execução de JavaScript ofuscado diretamente em memória.

A persistência é estabelecida via registro do Windows, mimetizando entradas legítimas do Microsoft Edge para reduzir a probabilidade de detecção em revisões superficiais. Em paralelo, um carregador baseado em DLL deposita o Xeno RAT 1.8.7 e abre um documento-isca para distrair o usuário enquanto a infecção segue silenciosamente.

“A campanha começa com a entrega via spear-phishing — um arquivo ZIP contendo um LNK malicioso com nome de arquivo cuidadosamente elaborado em pashto”, afirmou Dixit Panchal, pesquisador do Seqrite Labs.

Capacidades do Xeno RAT

O Xeno RAT é um trojan de acesso remoto desenhado para se conectar a um servidor de comando e controle (C2) via TCP, recebendo instruções diretamente do operador. Suas funcionalidades cobrem desde reconhecimento básico até comprometimento sustentado do host:

  • Carregamento e execução de módulos DLL externos para expansão de capacidades em runtime.
  • Coleta e exfiltração de dados, com agendamento via Scheduled Task para resiliência.
  • Enumeração de antivírus instalados no host comprometido.
  • Tunelamento de rede via proxy SOCKS5, facilitando movimentação lateral.
  • Operações de arquivo, registro de teclas (keylogging), captura de tela e monitoramento do clipboard.
  • Rastreamento de webcam e microfone — vetor crítico em ambientes governamentais sensíveis.
  • Remoção de mecanismos de persistência e autodestruição para apagar rastros após a operação.

Análise

A Operation XENOFISCAL reforça uma tendência consistente que vimos ao longo de 2025 e 2026: APTs de capacidade média estão progressivamente trocando malware proprietário caro por ferramentas de código aberto como o Xeno RAT, Spark RAT, AsyncRAT e variantes do njRAT. A escolha não é por falta de recursos, mas por economia operacional — RATs públicos reduzem o custo de desenvolvimento, facilitam atribuição falsa e podem ser modificados rapidamente para escapar de assinaturas.

O SideCopy, em particular, vem demonstrando uma maturidade crescente em engenharia social regional. Em vez de iscas genéricas em inglês, o grupo investe em conteúdo contextualizado: arquivos em pashto para o Afeganistão, lures vinculados a aquisições militares para a Índia, documentos com formatação compatível com a burocracia local. Esse padrão de “engenharia social regionalizada” eleva a taxa de sucesso e contrasta fortemente com campanhas de phishing massificadas comuns no cibercrime financeiramente motivado.

O uso de mshta.exe e HTAs hospedados em domínios educacionais comprometidos também merece atenção. Trata-se de uma técnica clássica de Living-off-the-Land (LotL) que escapa de muitas detecções baseadas em assinatura, especialmente em ambientes governamentais com EDRs pouco maduros. O comprometimento prévio de domínios .edu.af sugere reconhecimento extenso e provavelmente acesso por meses antes do início do ataque principal.

Recomendações práticas

  • Bloquear ou monitorar agressivamente execuções de mshta.exe a partir de processos não confiáveis (Office, navegadores, clientes de e-mail).
  • Restringir a execução de arquivos LNK provenientes de anexos de e-mail via políticas de Attack Surface Reduction (ASR) no Microsoft Defender.
  • Inspecionar entradas de registro suspeitas que se passem por componentes do Microsoft Edge — verificar caminhos e assinaturas digitais.
  • Monitorar conexões TCP de saída para domínios pouco usuais e bloquear protocolos SOCKS5 não autorizados.
  • Implementar segmentação de rede em órgãos governamentais sensíveis para limitar a movimentação lateral via proxy.
  • Treinar funcionários falantes de pashto/idiomas regionais com simulações específicas — phishing em inglês não cobre esse vetor.
  • Acompanhar IOCs publicados pelo Seqrite Labs e atualizar listas de threat intelligence para incluir indicadores do XENOFISCAL.

Vale lembrar que a Transparent Tribe está simultaneamente conduzindo uma operação paralela contra infraestrutura militar indiana, utilizando arquivos .desktop do Linux como vetor e iscas relacionadas a aquisições de veículos blindados, com engenharia social via WhatsApp. O conjunto de atividades indica que o cluster Paquistão-aligned segue ativo e diversificando vetores tanto para Windows quanto Linux.

Fonte: The Hacker News

Matérias Relacionadas

GoDaddy detecta malware em 1980 sites WordPress usando Steam Community como C2

Malware em 1.980 sites WordPress usa Steam Community como C2 com esteganografia em Unicode

2 de junho de 2026
Red Hat remove pacotes apos comprometimento via conta GitHub

Red Hat retira pacotes envenenados em novo ataque à cadeia de suprimentos via Mini Shai-Hulud

2 de junho de 2026

CVE-2026-41089: falha critica no Windows Netlogon esta sendo explorada ativamente, alerta autoridade belga

2 de junho de 2026

Veja mais..

GoDaddy detecta malware em 1980 sites WordPress usando Steam Community como C2

Malware em 1.980 sites WordPress usa Steam Community como C2 com esteganografia em Unicode

2 de junho de 2026
Red Hat remove pacotes apos comprometimento via conta GitHub

Red Hat retira pacotes envenenados em novo ataque à cadeia de suprimentos via Mini Shai-Hulud

2 de junho de 2026
Campanha SideCopy contra Ministerio das Financas do Afeganistao com Xeno RAT

SideCopy executa Operation XENOFISCAL contra Ministério das Finanças do Afeganistão

2 de junho de 2026

CVE-2026-41089: falha critica no Windows Netlogon esta sendo explorada ativamente, alerta autoridade belga

2 de junho de 2026

CISA alerta: vulnerabilidade no Oracle WebLogic (CVE-2024-21182) esta sendo explorada in-the-wild

2 de junho de 2026
Social Media Auto Publish Powered By : XYZScripts.com