Contenido
Una nueva campaña de ciberespionaje ha salido a la luz recientemente, dirigida a organizaciones diplomáticas y gubernamentales en el sur de Asia. El actor de amenaza, conocido como SideWinder, lanzó esta operación en septiembre de 2025, enfocándose en entidades como una embajada europea en Nueva Delhi, India, y varias instituciones en Sri Lanka, Pakistán y Bangladesh. Esta campaña marca una evolución en las tácticas, técnicas y procedimientos (TTP) de SideWinder, particularmente con la introducción de una novedosa cadena de infección que aprovecha archivos PDF y aplicaciones ClickOnce, complementando su uso anterior de exploits de Microsoft Word.
Investigadores de Trellix, Ernesto Fernández Provecho y Pham Duy Phuc, detallaron cómo los atacantes emplearon correos electrónicos de spear-phishing en cuatro oleadas entre marzo y septiembre de 2025. Estos correos contenían archivos adjuntos maliciosos disfrazados de documentos oficiales, con títulos como "Credenciales de reunión interministerial.pdf" o "Conflicto India-Pakistán - Análisis estratégico y táctico de mayo de 2025.docx." Los correos se originaron en un dominio diseñado para imitar al Ministerio de Defensa de Pakistán, aumentando el engaño.
El vector inicial de infección en estos ataques implica el envío de archivos PDF o Word maliciosos. Los archivos PDF incluyen un botón que insta a los destinatarios a descargar e instalar la última versión de Adobe Reader, pero al hacer clic se desencadena la descarga de una aplicación ClickOnce desde un servidor remoto. Esta aplicación, "ReaderConfiguration.exe," es un ejecutable legítimo de MagTek Inc., firmado con una firma digital válida, lo que la hace parecer confiable. Al ejecutarse, carga lateralmente una DLL maliciosa llamada "DEVOBJ.dll," que a su vez descifra y ejecuta un cargador .NET llamado ModuleInstaller.
ModuleInstaller juega un papel crucial en perfilar el sistema infectado y descargar cargas maliciosas adicionales, incluyendo StealerBot. StealerBot es un implante avanzado en .NET capaz de lanzar shells inversos, entregar malware adicional y recopilar datos sensibles como capturas de pantalla, pulsaciones de teclas, contraseñas y archivos. Tanto ModuleInstaller como StealerBot fueron identificados públicamente por primera vez por Kaspersky en octubre de 2024, vinculados a ataques previos de SideWinder dirigidos a infraestructuras estratégicas en Medio Oriente y África.
Ataques anteriores, reportados por Acronis en mayo de 2025, también dirigieron a instituciones gubernamentales en Sri Lanka, Bangladesh y Pakistán usando documentos maliciosos de Microsoft Office para entregar StealerBot. La campaña más reciente añade sofisticación al usar una combinación de documentos PDF y Word, correos de phishing elaborados con contexto geopolítico y la explotación de software legítimo firmado para la carga lateral de malware. Notablemente, los servidores de comando y control restringen el acceso al sur de Asia y generan rutas de descarga dinámicas, complicando los esfuerzos de investigación.
La campaña refleja los esfuerzos persistentes de SideWinder para refinar sus métodos y evadir la detección. Su estrategia de phishing en múltiples oleadas demuestra un profundo entendimiento del panorama diplomático, creando señuelos altamente específicos para maximizar el éxito. El uso de malware personalizado y aplicaciones legítimas firmadas para la entrega de cargas subraya su enfoque en la evasión y objetivos de espionaje a largo plazo. Los hallazgos de Trellix destacan la amenaza continua que representa este grupo para cuerpos diplomáticos y gubernamentales en una región geopolíticamente sensible.
