Recentemente, um grupo de Ameaça Persistente Avançada (APT) vinculado ao Paquistão, conhecido como SideCopy, ampliou suas operações de espionagem cibernética, focando em novos alvos e adotando táticas mais sofisticadas para contornar a detecção. A atuação do grupo, inicialmente direcionada a setores estratégicos como governo, defesa e setores marítimos da Índia, agora inclui novas vítimas, como as indústrias de ferrovias, petróleo e gás, além de ministérios de relações exteriores. A evolução das táticas do SideCopy, documentada pela equipe da Seqrite Labs, revela a crescente sofisticação do grupo, que se aproveita de métodos de phishing, roubo de credenciais e ferramentas de código aberto modificadas, como o XenoRAT, para realizar ataques cibernéticos.
A Nova Estratégia de Invasão do SideCopy
A evolução das estratégias do SideCopy reflete a adaptação contínua do grupo para garantir o sucesso de suas campanhas de espionagem. O uso de pacotes MSI como mecanismo de preparação marca uma mudança significativa em relação às técnicas anteriores, que dependiam de arquivos de aplicativo HTML (HTA). Esse novo método permite que o SideCopy use técnicas de evasão mais avançadas, como o carregamento lateral de DLL, para contornar sistemas de defesa e garantir uma execução discreta de suas cargas maliciosas.
Os pacotes MSI são usados para entregar códigos maliciosos que são disfarçados de programas legítimos, evitando a detecção durante a execução. A introdução dessa técnica demonstra a capacidade do grupo em explorar brechas de segurança em sistemas comuns, visando comprometer infraestruturas essenciais de forma eficaz.
Além disso, a utilização de ferramentas de código aberto, como o XenoRAT, aprimorado pelo SideCopy, indica um nível mais alto de personalização em suas operações. O XenoRAT é um tipo de malware de acesso remoto (RAT), usado para monitorar e controlar remotamente os dispositivos infectados, incluindo funcionalidades como gravação de áudio ao vivo, keylogging e captura de informações sensíveis. O fato de o SideCopy ter modificado o XenoRAT para suas necessidades sugere uma maior sofisticação em suas atividades de espionagem e um esforço contínuo para evitar a detecção.
Ações de Phishing e Roubo de Credenciais
A campanha do SideCopy começou com e-mails de phishing, disfarçados de comunicações oficiais do National Defense College (NDC) da Índia. Os e-mails, enviados em janeiro de 2025, continham anexos e links maliciosos, como os arquivos “NDC65-Updated-Schedule.pdf” e “2024-National-Holidays-RH-PER_N-1.zip”. Ao clicar nesses arquivos ou links, os usuários eram redirecionados para a instalação de pacotes MSI, que, por sua vez, entregavam cargas maliciosas aos sistemas das vítimas. Essa técnica de engenharia social é uma das mais eficazes no combate a sistemas de defesa, pois explora a confiança dos alvos em fontes legítimas.
Uma vez que o malware é instalado, o SideCopy emprega técnicas como carregamento reflexivo e descriptografia AES/RC4 para garantir que os arquivos maliciosos permaneçam ocultos enquanto executam suas atividades. A persistência do malware é alcançada por meio do uso de domínios comprometidos, como “nhp.mowr.gov.in”, que imitam sites governamentais legítimos, criando uma falsa sensação de segurança para os usuários. Além disso, o grupo também se utiliza de domínios criados especificamente para hospedar suas cargas úteis, aumentando ainda mais as chances de sucesso da infecção.
A Implantação do XenoRAT Modificado
Entre as ferramentas maliciosas utilizadas pelo SideCopy, destaca-se o XenoRAT, uma ferramenta de código aberto originalmente associada a grupos cibercriminosos ligados à Coreia do Norte. Ao modificar o XenoRAT, o SideCopy ampliou suas capacidades de espionagem, permitindo não apenas o controle remoto dos dispositivos infectados, mas também a extração de dados sensíveis, gravação de áudio em tempo real e outros tipos de vigilância, como o monitoramento de telas e teclados.
A versão modificada do XenoRAT se comunica com um servidor de comando e controle (C2), localizado no endereço IP 79.141.161.58:1256. Esse servidor desempenha um papel fundamental na coordenação das atividades do malware, permitindo que o grupo monitore e controle suas vítimas com um alto grau de personalização. O uso de servidores C2 associados a provedores de hospedagem como Cloudflare e HZ Hosting Limited mostra a complexidade e a evolução das operações do SideCopy, que continua a refinar suas estratégias para evitar a detecção por sistemas de segurança.
A Ameaça à Infraestrutura Crítica
O aumento da sofisticação e da abrangência das operações do SideCopy representa uma ameaça crescente para setores essenciais, como governo, defesa, petróleo e gás, e outros serviços públicos. A utilização de ferramentas de código aberto, como o XenoRAT, e a modificação dessas ferramentas para melhor atender aos seus objetivos estratégicos, são um indicativo claro da capacidade do grupo em comprometer infraestruturas críticas.
Além disso, a evolução das táticas do SideCopy destaca a importância de se adotar uma abordagem proativa para a segurança cibernética. Organizações governamentais e empresariais devem implementar medidas rigorosas de defesa, como a utilização de sistemas de detecção avançados e a educação de seus funcionários sobre as ameaças de phishing e roubo de credenciais. Sem essas medidas, as chances de sucesso de campanhas cibernéticas, como as do SideCopy, aumentam consideravelmente, colocando em risco a segurança de dados sensíveis e a estabilidade de operações críticas.
A atuação do SideCopy demonstra a evolução das ameaças cibernéticas, com o grupo expandindo suas operações e adaptando suas táticas para alcançar alvos ainda mais estratégicos. O uso de ferramentas de código aberto modificadas, como o XenoRAT, e técnicas de phishing e roubo de credenciais, permite que o SideCopy conduza campanhas de espionagem cibernética de forma mais eficaz, comprometendo infraestruturas essenciais sem ser detectado. O caso ressalta a necessidade urgente de se aprimorar a segurança cibernética, especialmente em setores críticos, a fim de evitar que ameaças como essas causem danos irreparáveis à segurança nacional e à integridade de informações sensíveis.
