SideCopy executa Operation XENOFISCAL contra Ministério das Finanças do Afeganistão

O grupo SideCopy, ligado ao Paquistão e operando sob o guarda-chuva da APT36 (Transparent Tribe), executa uma nova campanha de espionagem cibernética batizada de Operation XENOFISCAL contra o Ministério das Finanças do Afeganistão e órgãos provinciais de receita, distribuindo o Xeno RAT 1.8.7 por meio de spear-phishing em pashto. O vetor é um arquivo LNK malicioso dentro de um ZIP, que aciona mshta.exe para baixar um HTA remoto a partir de um domínio educacional afegão comprometido.

O que aconteceu

Pesquisadores do Seqrite Labs detalharam uma operação de espionagem direcionada a autoridades do governo afegão, em particular ao Ministério das Finanças, com a entrega do trojan de acesso remoto Xeno RAT — um RAT de código aberto popular entre atores de baixo a médio nível de sofisticação. A campanha foi denominada Operation XENOFISCAL.

Além do ministério, também figuram entre os alvos diretorias provinciais de receita e finanças, funcionários públicos falantes de pashto e empregados em nível provincial. A escolha do idioma pashto nos arquivos-isca é deliberada: trata-se da língua dominante nos círculos do governo afegão, o que demonstra familiaridade do atacante com o ambiente operacional do alvo.

O SideCopy é um cluster atribuído ao Paquistão e considerado parte do guarda-chuva mais amplo da Transparent Tribe (também conhecida como APT36). Em abril de 2025, o mesmo grupo foi associado a ataques contra setores indianos utilizando uma combinação de Xeno RAT, Spark RAT e CurlBack RAT, o que reforça o padrão de atividade contra alvos sul-asiáticos.

Como o ataque funciona

A cadeia de infecção começa com um e-mail de spear-phishing carregando um arquivo ZIP. Dentro, um atalho do Windows (LNK) com nome de arquivo cuidadosamente construído em pashto serve como gatilho inicial. Quando executado, o LNK invoca mshta.exe para baixar um HTML Application (HTA) hospedado em um domínio educacional afegão previamente comprometido, levando à execução de JavaScript ofuscado diretamente em memória.

A persistência é estabelecida via registro do Windows, mimetizando entradas legítimas do Microsoft Edge para reduzir a probabilidade de detecção em revisões superficiais. Em paralelo, um carregador baseado em DLL deposita o Xeno RAT 1.8.7 e abre um documento-isca para distrair o usuário enquanto a infecção segue silenciosamente.

“A campanha começa com a entrega via spear-phishing — um arquivo ZIP contendo um LNK malicioso com nome de arquivo cuidadosamente elaborado em pashto”, afirmou Dixit Panchal, pesquisador do Seqrite Labs.

Capacidades do Xeno RAT

O Xeno RAT é um trojan de acesso remoto desenhado para se conectar a um servidor de comando e controle (C2) via TCP, recebendo instruções diretamente do operador. Suas funcionalidades cobrem desde reconhecimento básico até comprometimento sustentado do host:

• Carregamento e execução de módulos DLL externos para expansão de capacidades em runtime.
• Coleta e exfiltração de dados, com agendamento via Scheduled Task para resiliência.
• Enumeração de antivírus instalados no host comprometido.
• Tunelamento de rede via proxy SOCKS5, facilitando movimentação lateral.
• Operações de arquivo, registro de teclas (keylogging), captura de tela e monitoramento do clipboard.
• Rastreamento de webcam e microfone — vetor crítico em ambientes governamentais sensíveis.
• Remoção de mecanismos de persistência e autodestruição para apagar rastros após a operação.

Análise

A Operation XENOFISCAL reforça uma tendência consistente que vimos ao longo de 2025 e 2026: APTs de capacidade média estão progressivamente trocando malware proprietário caro por ferramentas de código aberto como o Xeno RAT, Spark RAT, AsyncRAT e variantes do njRAT. A escolha não é por falta de recursos, mas por economia operacional — RATs públicos reduzem o custo de desenvolvimento, facilitam atribuição falsa e podem ser modificados rapidamente para escapar de assinaturas.

O SideCopy, em particular, vem demonstrando uma maturidade crescente em engenharia social regional. Em vez de iscas genéricas em inglês, o grupo investe em conteúdo contextualizado: arquivos em pashto para o Afeganistão, lures vinculados a aquisições militares para a Índia, documentos com formatação compatível com a burocracia local. Esse padrão de “engenharia social regionalizada” eleva a taxa de sucesso e contrasta fortemente com campanhas de phishing massificadas comuns no cibercrime financeiramente motivado.

O uso de mshta.exe e HTAs hospedados em domínios educacionais comprometidos também merece atenção. Trata-se de uma técnica clássica de Living-off-the-Land (LotL) que escapa de muitas detecções baseadas em assinatura, especialmente em ambientes governamentais com EDRs pouco maduros. O comprometimento prévio de domínios .edu.af sugere reconhecimento extenso e provavelmente acesso por meses antes do início do ataque principal.

Recomendações práticas

• Bloquear ou monitorar agressivamente execuções de mshta.exe a partir de processos não confiáveis (Office, navegadores, clientes de e-mail).
• Restringir a execução de arquivos LNK provenientes de anexos de e-mail via políticas de Attack Surface Reduction (ASR) no Microsoft Defender.
• Inspecionar entradas de registro suspeitas que se passem por componentes do Microsoft Edge — verificar caminhos e assinaturas digitais.
• Monitorar conexões TCP de saída para domínios pouco usuais e bloquear protocolos SOCKS5 não autorizados.
• Implementar segmentação de rede em órgãos governamentais sensíveis para limitar a movimentação lateral via proxy.
• Treinar funcionários falantes de pashto/idiomas regionais com simulações específicas — phishing em inglês não cobre esse vetor.
• Acompanhar IOCs publicados pelo Seqrite Labs e atualizar listas de threat intelligence para incluir indicadores do XENOFISCAL.

Vale lembrar que a Transparent Tribe está simultaneamente conduzindo uma operação paralela contra infraestrutura militar indiana, utilizando arquivos .desktop do Linux como vetor e iscas relacionadas a aquisições de veículos blindados, com engenharia social via WhatsApp. O conjunto de atividades indica que o cluster Paquistão-aligned segue ativo e diversificando vetores tanto para Windows quanto Linux.

Fonte: The Hacker News