Каждому антивирусу — свой подход. Хакеры изобрели супертроян, подстраивающийся под любую защиту

Хакерская группа Transparent Tribe начала новую волну кибершпионских атак, нацеленных на государственные структуры, научные учреждения и стратегически важные организации в Индии. Основным инструментом злоумышленников стал очередной вариант трояна удалённого доступа (RAT), который позволяет сохранять устойчивое присутствие в скомпрометированной системе.

По данным Cyfirma, текущая кампания начинается с фишинговых писем, к которым прикреплён архив с ярлыком Windows, замаскированным под PDF-документ. После запуска файла на компьютере жертвы активируется скрипт HTA, запускаемый через «mshta.exe». Этот скрипт расшифровывает и загружает вредоносный компонент напрямую в оперативную память, параллельно открывая ложный PDF-документ, чтобы не вызвать подозрений.

В ходе выполнения скрипт взаимодействует с операционной системой через объекты ActiveX, что позволяет определять параметры системы и адаптировать поведение в зависимости от особенностей машины. Такое поведение повышает надёжность исполнения вредоносного кода.

Особый интерес вызывает механизм закрепления в системе. Программа анализирует установленное антивирусное ПО и в зависимости от обнаруженного продукта использует разные методы. Так, при наличии защитного решения от «Лаборатории Касперского» создаётся скрытая папка и туда записывается зашифрованный файл, запускаемый через ярлык в автозагрузке. В случае с Quick Heal троян создаёт bat-файл, который вызывает тот же HTA-скрипт. Если обнаружены решения от Avast, AVG или Avira, вредоносный файл копируется напрямую в автозагрузку. Если же антивирус не выявлен, используется комбинация скриптов и изменений в системном реестре.

Основной вредоносный компонент — библиотека «iinneldc.dll» — выполняет функции шпионажа: может управлять системой, работать с файлами, перехватывать данные, делать снимки экрана и выполнять команды через командную строку.

Кроме этой атаки, группа также связана с другой недавней операцией, в которой использовался ярлык, замаскированный под правительственный документ. Вредоносный файл под названием «NCERT-Whatsapp-Advisory.pdf.lnk» загружает установщик с сайта, связанного с доменом «aeroclubofindia.co[.]in». После запуска извлекаются и записываются на устройство жертвы вредоносные библиотеки и исполняемый файл, запускаемый с задержкой. Закрепление обеспечивается за счёт скрипта на VBScript, вносящего изменения в реестр, чтобы при каждой загрузке запускался основной исполняемый файл.

Стоит отметить, что отображаемый PDF-документ действительно был официальным предупреждением, опубликованным в Пакистане в 2024 году и касался рассылки вредоносного файла через мессенджер WhatsApp. Это используется для повышения доверия к вложению и повышения вероятности его запуска.

Одна из библиотек устанавливает связь с командным сервером, чей домен был зарегистрирован весной 2025 года. Хотя на данный момент этот сервер не активен, сохранённая в системе автозагрузка позволяет легко восстановить контроль над заражённым устройством.

Библиотека подключается к серверу с помощью GET-запросов, выполняя регистрацию заражённой системы, регулярную передачу сигналов активности и получение новых команд. Все запросы шифруются в обратном порядке символов в URL, чтобы избежать обнаружения с помощью сигнатурного анализа. Также библиотека проверяет наличие антивирусных решений, что дополнительно расширяет возможности по сбору информации и корректировке поведения в зависимости от окружения.

Таким образом, Transparent Tribe остаётся устойчивым и методично действующим противником, нацеленным на сбор разведывательной информации с индийских государственных и исследовательских площадок.