Investigadores de seguridad han descubierto docenas de nuevos objetivos regionales y nuevas herramientas de ciberataque vinculadas al grupo APT indio, SideWinder.

El presunto grupo patrocinado por el Estado -también conocido como Rattlesnake, Hardcore Nationalist (HN2) y T-APT4- sale a la luz en un nuevo informe de Group-IB, Old snake, new skin: Análisis de la actividad de la APT SideWinder entre junio y noviembre de 2021.

Durante el período de seis meses, la firma de inteligencia de amenazas descubrió que los actores de amenazas SideWinder intentaron atacar 61 objetivos gubernamentales, militares, policiales y otros en Afganistán, Bután, Myanmar, Nepal y Sri Lanka.

También vinculó al grupo con un ataque en 2020 contra el gobierno de las Maldivas.

El vector de amenazas elegido por SideWinder siguen siendo los correos electrónicos de spear-phishing, que disparó contra estos objetivos durante el periodo. Según Group-IB, dos de las campañas incluían correos electrónicos en los que el grupo APT se hacía pasar por una empresa de criptomoneda.

Group-IB descubrió dos nuevas herramientas de cosecha propia utilizadas por SideWinder durante la campaña: un RAT apodado SideWinder.RAT.b y un ladrón de información llamado SideWinder.StealerPy.

Este último está diseñado para recopilar el historial de navegación de Google Chrome, las credenciales guardadas en el navegador, la lista de carpetas del directorio, la metainformación y el contenido de archivos docx, pdf, txt, etc.

Según Group-IB, ambas herramientas personalizadas utilizan Telegram para comunicarse con las máquinas objetivo comprometidas en lugar de los servidores de C&C tradicionales, ya que resulta más cómodo hacerlo así.

Tras analizar la infraestructura de red utilizada por SideWinder, el proveedor afirmó que probablemente se trataba de la misma entidad que el grupo BabyElephant APT.