APT36 атакует Индию: Вредоносные ярлыки Windows скрывают шпионское ПО нового поколения

Кампания начинается с фишингового письма, содержащего ZIP-архив «Online JLPT Exam Dec 2025.zip». Внутри находится файл ярлыка Windows (LNK) с двойным расширением «.pdf.lnk». Операционная система по умолчанию скрывает расширение .lnk, поэтому жертва видит лишь название, имитирующее документ PDF. Для усиления обмана злоумышленники искусственно увеличили размер файла до нескольких мегабайт, встроив в него полноценную структуру PDF-документа. Следовательно, файл выглядит и весит как настоящий PDF, что резко снижает бдительность пользователя.

При запуске этого ярлыка срабатывает стандартный механизм Windows: через системную утилиту "mshta.exe" загружается и выполняется скрипт HTA с удаленного сервера. Данный подход, известный как злоупотребление доверенными системными бинарниками (Living off the Land), позволяет избежать создания подозрительных процессов. HTA-загрузчик выполняет многослойную дешифровку, полностью восстанавливая вредоносные полезные нагрузки (payload) в памяти, не оставляя следов на диске.

Кампания использует многостадийную модель. Первая стадия (ReadOnly) представляет собой конфигурационный модуль, который ослабляет средства защиты десериализации в .NET. Это критический подготовительный шаг, позволяющий безопасно выполнить следующую стадию. Вторая стадия (WriteOnly) загружает в память вредоносную DLL-библиотеку, которая функционирует как полнофункциональный троян удаленного доступа (Remote Access Trojan, RAT).

Анализ финальной полезной нагрузки выявил высокий уровень адаптивности и скрытности. Вредоносное ПО начинает с развертывания документа-приманки - легитимного PDF, который открывается для пользователя, создавая видимость нормальной работы. Тем временем в фоновом режиме троян проводит профилирование системы. Важно отметить, что он активно определяет установленные антивирусные решения через WMI и в зависимости от результата выбирает один из нескольких механизмов обеспечения устойчивости (persistence). Например, при обнаружении Kaspersky или Quick Heal используются разные методы записи на диск и автозапуска через папку Startup.

Основные возможности трояна подтверждают его шпионскую направленность. Он устанавливает зашифрованное соединение с командным сервером и поддерживает широкий спектр функций для удаленного контроля. В частности, злоумышленники могут выполнять произвольные команды, управлять файлами, похищать документы (офисные файлы, PDF, базы данных), делать скриншоты экрана, перехватывать и подменять содержимое буфера обмена, а также выгружать список процессов и установленного ПО. Все эксфильтрируемые данные предварительно шифруются алгоритмом AES.

С точки зрения ландшафта угроз, эта кампания подчеркивает растущую изощренность APT36. Группа делает ставку на устойчивость и незаметность, активно маскируя вредоносную активность под легитимные действия пользователя. Использование файлов ярлыков для доставки сложных многостадийных нагрузок представляет собой серьезный вызов для традиционных средств защиты, основанных на сигнатурах.

Для противодействия подобным угрозам эксперты рекомендуют комплексный подход. Необходимо обучать пользователей распознаванию фишинга и опасности файлов с двойными расширениями. На уровне инфраструктуры следует применять политики, ограничивающие выполнение скриптов и LNK-файлов из ненадежных расположений, а также включить отображение полных расширений файлов в Windows. Мониторинг сетевой активности и процессов, особенно цепочек выполнения с участием "mshta.exe" и "powershell.exe", поможет выявить аномалии. Наконец, внедрение решений класса EDR (Endpoint Detection and Response) и актуальная киберразведка (Threat Intelligence) для отслеживания тактик, методов и процедур (TTP) таких групп, как APT36, являются критически важными мерами для защиты от целевых атак.

IPv4

• 2.56.10.86

Domains

• drjagrutichavan.com
• innlive.in

SHA256

• 06fb22c743fcc949998e280bd5deaf8f80d616b371576b5e11fd5b1d3b23a5f2
• c1f3dea00caec58c9e0f990366ff40ae59e93f666f92e1c218c03478bf3abe17
• fc43f4c618bce57461df5752a8d3bedf243eacfdd3e648ea8b1310083764fd92