文章总结： TransparentTribe组织使用伪装成PDF的LNK文件通过鱼叉邮件攻击印度政府及学术机构，其RAT能根据杀软类型调整持久化方式，并植入功能完整的DLL后门实现远程控制。Patchwork组织则通过MSBuild项目投放PythonRAT和新型StreamSpy木马，利用WebSocket协议规避检测。两家组织均持续更新工具库并存在技术关联。 综合评分： 78 文章分类： 威胁情报,恶意软件,漏洞分析,APT,网络攻击

Transparent Tribe对印度政府和学术界发起新的远程访问木马攻击

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年1月3日 17:02 北京

在小说阅读器读本章

去阅读

名为 Transparent Tribe 的威胁行为者被指利用远程访问木马 (RAT) 对印度政府、学术和战略实体发起了一系列新的攻击，该木马能够使其对受感染的主机进行持续控制。

CYFIRMA在一份技术报告中表示： “该活动采用了欺骗性的传播技术，包括使用伪装成合法 PDF 文档并嵌入完整 PDF 内容的武器化 Windows 快捷方式 (LNK) 文件来逃避用户的怀疑。”

Transparent Tribe，又称APT36，是一个以对印度机构发动网络间谍活动而闻名的黑客组织。据评估，该组织源自印度，并由国家支持，其活动至少可以追溯到2013年。

该威胁组织拥有不断进化的远程访问木马（RAT）库来实现其目标。近年来，Transparent Tribe 使用的一些木马包括CapraRAT、Crimson RAT、ElizaRAT和DeskRAT。

最新一轮攻击始于一封鱼叉式网络钓鱼邮件，邮件中包含一个 ZIP 压缩包，其中伪装成 PDF 文件的 LNK 文件。打开该文件会触发一个远程 HTML 应用程序 (HTA) 脚本的执行，该脚本使用“mshta.exe”解密并直接在内存中加载最终的 RAT 有效载荷。同时，HTA 还会下载并打开一个诱饵 PDF 文档，以避免引起用户的怀疑。

CYFIRMA指出：“解码逻辑建立后，HTA会利用ActiveX对象，特别是WScript.Shell，与Windows环境进行交互。这种行为体现了环境分析和运行时操作，确保与目标系统的兼容性，并提高执行可靠性，这种技术在滥用‘mshta.exe’的恶意软件中很常见。”

该恶意软件的一个显著特点是能够根据受感染计算机上安装的防病毒解决方案来调整其持久化方法 –

• 如果检测到卡巴斯基，它会在“C:\Users\Public\core\”下创建一个工作目录，将混淆的 HTA 有效载荷写入磁盘，并通过在 Windows 启动文件夹中放置一个 LNK 文件来建立持久性，该文件进而使用“mshta.exe”启动 HTA 脚本。
• 如果检测到 Quick Heal，它会通过在 Windows 启动文件夹中创建一个批处理文件和一个恶意 LNK 文件来建立持久化，将 HTA 有效载荷写入磁盘，然后使用批处理脚本调用它。
• 如果检测到 Avast、AVG 或 Avira，它会将有效载荷直接复制到启动目录并执行。
• 如果未检测到任何已知的防病毒解决方案，则会回退到批处理文件执行、基于注册表的持久化以及在启动批处理脚本之前部署有效载荷的组合方案。

第二个 HTA 文件包含一个名为“iinneldc.dll”的 DLL，它作为一个功能齐全的 RAT，支持远程系统控制、文件管理、数据泄露、屏幕截图捕获、剪贴板操作和进程控制。

这家网络安全公司表示：“APT36（Transparent Tribe）仍然是一个高度持续且具有战略驱动的网络间谍威胁，持续专注于情报收集，目标是印度政府实体、教育机构和其他具有战略意义的部门。”

最近几周，APT36 还与另一项活动有关，该活动利用伪装成政府咨询 PDF 的恶意快捷方式文件（“NCERT-Whatsapp-Advisory.pdf.lnk”）来提供基于 .NET 的加载器，然后该加载器会释放其他可执行文件和恶意 DLL，以建立远程命令执行、系统侦察和长期访问。

该快捷方式旨在通过 cmd.exe 执行混淆命令，从远程服务器（“aeroclubofindia.co[.]in”）检索 MSI 安装程序（“nikmights.msi”），该安装程序负责启动一系列操作 –

• 提取并向受害者显示诱饵PDF文档
• 将 DLL 文件解码并写入“C:\ProgramData\PcDirvs\pdf.dll”和“C:\ProgramData\PcDirvs\wininet.dll”
• 将“PcDirvs.exe”文件放到相同位置，并在 10 秒后执行它。
• 通过创建包含 Visual Basic 脚本的“PcDirvs.hta”文件来实现持久化，该脚本会修改注册表，以便在每次系统启动后启动“PcDirvs.exe”。

值得指出的是，显示的诱饵 PDF 是巴基斯坦国家网络应急响应小组 (PKCERT) 于 2024 年发布的合法公告，内容是关于针对巴基斯坦政府机构的欺诈性 WhatsApp 消息活动，该活动使用恶意 WinRAR 文件感染系统并植入恶意软件。

DLL 文件“wininet.dll”连接到托管在 dns.wmiprovider[.]com 上的硬编码命令与控制 (C2) 基础架构。它于 2025 年 4 月中旬注册。与此活动关联的 C2 服务器目前处于非活动状态，但基于 Windows 注册表的持久性确保了该威胁在未来任何时候都可能被重新激活。

CYFIRMA表示： “该DLL实现了多个基于HTTP GET的端点，用于与C2服务器建立通信、执行更新以及检索攻击者发出的命令。为了规避静态字符串检测，端点字符故意以相反的顺序存储。”

端点列表如下 –

• /retsiger（注册），将受感染的系统注册到 C2 服务器。
• /taebtraeh（心跳），向 C2 服务器发出其存在信号
• /dnammoc_teg (get_command)，通过“cmd.exe”运行任意命令
• /dnammocmvitna（反虚拟机命令），用于查询或设置反虚拟机状态，并可能调整其行为。

该 DLL 还会查询受害系统上已安装的防病毒产品，使其成为能够进行侦察和收集敏感信息的强大工具。

Patchwork 与新型 StreamSpy 木马程序有关联

据安全研究员伊丹·塔拉布 (Idan Tarab)称，就在几周前，一个名为Patchwork（又名Dropping Elephant 或 Maha Grass ）的黑客组织被曝与针对巴基斯坦国防部门的攻击有关，该攻击使用基于 Python 的后门程序，并通过包含 ZIP 文件的网络钓鱼电子邮件进行传播。

该压缩包内包含一个 MSBuild 项目，当通过“msbuild.exe”执行该项目时，会部署一个投放器，最终安装并启动 Python 远程访问木马 (RAT)。该恶意软件能够连接 C2 服务器并运行远程 Python 模块、执行命令以及上传/下载文件。

Tarab 表示： “此次攻击活动代表了一种现代化、高度混淆的 Patchwork APT 工具包，它融合了 MSBuild LOLBin加载器、PyInstaller 修改的 Python 运行时、序列化字节码植入、地理围栏、随机化的 PHP C2 端点以及逼真的持久化机制。”

截至2025年12月，Patchwork 还与一种此前未被记录的木马程序 StreamSpy 有关联。StreamSpy 使用 WebSocket 和 HTTP 协议进行 C2 通信。WebSocket 通道用于接收指令和传输执行结果，而 HTTP 则用于文件传输。

StreamSpy与Patchwork的关联源于其与Spyder的相似性。Spyder是另一个名为WarHawk的后门程序的变种，而WarHawk被认为是SideWinder所为。Patchwork对Spider的使用可以追溯到2023年。

该恶意软件（“ Annexure.exe ”）通过托管在“firebasescloudemail[.]com”上的 ZIP 压缩包（“OPS-VII-SIR.zip ”）分发，能够收集系统信息，通过 Windows 注册表、计划任务或启动文件夹中的 LNK 文件建立持久化，并使用 HTTP 和 WebSocket 与 C2 服务器通信。支持的命令列表如下：

• F1A5C3，下载文件并使用 ShellExecuteExW 打开它。
• B8C1D2，将命令执行的 shell 设置为 cmd
• E4F5A6，将命令执行的 shell 设置为 PowerShell
• FL_SH1，关闭所有 shell。
• 使用 C9E3D4、E7F8A9、H1K4R8 和 C0V3RT 从 C2 服务器下载加密的 zip 文件，解压缩，然后使用 ShellExecuteExW 打开它们。
• F2B3C4，用于收集有关文件系统和连接到该设备的所有磁盘的信息。
• D5E6F7，用于执行文件上传和下载
• A8B9C0，执行文件上传
• D1E2F3，删除文件
• A4B5C6，重命名文件
• D7E8F9，用于枚举特定文件夹

StreamSpy 下载网站还托管着具有强大数据收集功能的 Spyder 变种，并补充说，该恶意软件的数字签名与另一款名为ShadowAgent 的Windows 远程访问木马(RAT) 存在关联，后者归因于DoNot Team（又名 Brainworm）。值得注意的是，360 威胁情报中心在 2025 年 11 月就将同一个“Annexure.exe”可执行文件标记为 ShadowAgent。

“Maha Grass 组织推出的 StreamSpy 木马和 Spyder 变种表明，该组织正在不断迭代其攻击工具库，”这家中国安全厂商表示。

“在 StreamSpy 木马中，攻击者试图使用 WebSocket 通道来发出命令和反馈结果，以逃避对 HTTP 流量的检测和审查。此外，相关样本进一步证实，Maha Grass 和DoNot攻击组织在资源共享方面存在一些联系。”

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《Transparent Tribe对印度政府和学术界发起新的远程访问木马攻击》