Passa ai contenuti principali

Tag 140 schiera DRAT V2 contro India. Spionaggio mirato tra geopolitica e cyber‑strategia

Negli ultimi giorni il collettivo TAG 140 – ritenuto un sottogruppo di SideCopy/Transparent Tribe, tradizionalmente associato a influenze pakistane – ha lanciato una nuova campagna di cyber‑spionaggio rivolta contro strutture critiche indiane, inclusi ministeri, difesa, ferrovie e infrastrutture energetiche, sfruttando un RAT evoluto denominato DRAT V2.

L’attacco nasce da un inganno social engineering: i target vengono reindirizzati verso un portale fasullo che imita quello del Ministero della Difesa indiano. Un unico link “attivo” – contenente un comando malevolo – viene copiato sugli appunti del sistema vittima, con l’istruzione di incollarlo in un terminale. Questo provoca il download ed esecuzione di un file HTA tramite mshta.exe, che attiva un loader denominato BroaderAspect. Quest’ultimo crea persistenza, estrae un PDF di copertura e installa il payload principale, cioè DRAT V2.

Rispetto alla versione .NET precedente, la nuova variante compilata in Delphi porta diverse novità:
  • Un comando “exec_this_comm” per esecuzione arbitraria di shell, che aumenta la flessibilità operativa post‑infezione.
  • C2 (command-and-control) più robusto: supporto a comandi in ASCII e Unicode – la risposta rimane ASCII – e indirizzi IP offuscati in Base64, benché alcune header restino in chiaro, probabilmente per stabilità operativa.
  • Persistenza tramite modifiche al registro di Windows, senza anti-analisi sofisticata: meccanismi scoperti tramite analisi statica e comportamentale.
Il risultato è un accesso remoto stabile, modulare, in grado di esfiltrare dati, scaricare payload addizionali e comandare la macchina vittima con controllo fine-granulare.

Dietro l’azione di TAG 140 non c’è solo una spinta tecnologica, ma un chiaro intento geopolitico: monitorare e possibilmente sabotare infrastrutture strategiche indiane, in un contesto di rivalità storica tra Islamabad e Nuova Delhi. Come avvenuto tra maggio e giugno 2025 con l’attività di APT36 e Ares RAT, sembrano emergere operazioni parallele volte a sfruttare tensioni politiche, crisi diplomatiche e militarizzazione regionale.

Il “movente” appare duplice:
  • Spionaggio militare e politico – accedere a informazioni di difesa, logistica e trasporti.
  • Guerra asimmetrica – trasferire pressione nella dimensione cyber alle autorità indiane, in risposta a operazioni sul terreno, a volte limitate o invisibili.
Da un lato, questi attacchi confermano che i gruppi pakistani come TAG 140/SideCopy non solo sono attivi da anni (almeno dal 2019), ma si evolvono con malware sofisticati, alternando versioni RAT per eludere le difese. Dal mio punto di vista, più che aumentare l’efficacia, la strategia è rendere le loro campagne meno prevedibili e più difficili da tracciare nel lungo termine.

Dall’altro, la clonazione dei portali governativi rappresenta un’ennesima dimostrazione di quanto il fattore umano resti l’anello debole: sensibilizzare i professionisti dell’IT a riconoscere queste tecniche – e implementare sistemi di whitelisting su mshta.exe, monitoraggio clipboard, flagging per chiamate a server sconosciuti – è oggi fondamentale.

La minaccia DRAT V2 di TAG 140 non è soltanto un upgrade tecnologico, ma una mossa ben ponderata in un contesto geopolitico complesso. Per la cybersecurity della tua azienda o istituzione indiana (o comunque esposta), gli aspetti critici su cui lavorare ora sono:
  • Rafforzare la resilienza ai clickbait istituzionali falsi;
  • Sorveglianza proattiva del comportamento di caricamento HTA e loader;
  • Analisi del traffico C2 criptato, soprattutto in uscita da applicazioni sotto stress.
Serve una maggiore cooperazione internazionale tra analisti e governi – magari Italia inclusa – per condividere indicatori di compromissione e prevenire escalation che vanno ben oltre il digitale. In fondo, in questa partita tra India e Pakistan, il cyberspazio è il nuovo campo di battaglia.
Tag:

Commenti

Posta un commento

Popolari

IPv6, come siamo passati dai camuffamenti (tunnel broker) su IRCNet alle sfide di sicurezza di oggi

All’inizio degli anni 2000, prima che l’IPv6 fosse una realtà comune, per connettersi alla nuova rete servivano i tunnel broker: nodi messi in piedi da appassionati o provider che permettevano di avere un indirizzo IPv6 incapsulato dentro IPv4. In Italia c’erano nomi che oggi sembrano quasi leggendari: NGnet, Zibibbo, e poi, su scala più internazionale, SixXS, che per anni ha fornito tunnel di altissima qualità fino a dichiarare “mission accomplished” e chiudere nel 2017. Erano anni in cui IPv6 era roba da smanettoni, e la comunità IRCNet italiana era uno dei posti dove questo “potere” trovava applicazioni creative. Personalmente lo usavo per camuffare il mio IPv4: mentre con un indirizzo 95.x.x.x il server IRC mostrava il reverse DNS dell’ISP, con IPv6 potevo scegliere il mio indirizzo nel blocco assegnato, evitando di esporre il mio IP reale e cambiandolo a piacere. In quel periodo circolavano anche strumenti curiosi, come ipv6fuck.c dell’autore “schizoid”, un codice C che serviva pe...
Posta un commento
Continua a leggere »

WinRAR sotto attacco, zero-day critica sfruttata da hacker russi

Il 10 agosto 2025 è stata resa pubblica la vulnerabilità CVE-2025-8088 di WinRAR, una falla di tipo directory traversal già sfruttata in attacchi mirati da RomCom, gruppo hacker legato alla Russia e noto per operazioni di cyber-spionaggio ed estorsione. Il problema risiede nella gestione dei percorsi all’interno di archivi compressi: un file RAR malevolo può includere riferimenti a directory specifiche del sistema, forzando WinRAR a estrarre file in percorsi diversi da quelli scelti dall’utente. In particolare, è possibile copiare eseguibili nelle cartelle di avvio automatico di Windows, come %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup o %ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp. Alla successiva accensione del PC, il malware viene avviato in automatico, ottenendo così persistenza sul sistema e potenzialmente consentendo il controllo remoto. Gli attacchi osservati sono stati condotti tramite campagne di spear-phishing: le vittime ricevevano email contenenti...
Posta un commento
Continua a leggere »

Nuovo attacco agli ambienti ibridi Microsoft, l’allarme lanciato a Black Hat. Active Directory ed Entra ID sotto esame, la tecnica che sfida MFA e controlli tradizionali

A Black Hat USA 2025 è stata mostrata una lezione dura ma utile per chiunque gestisca identità e mail aziendali: un ricercatore ha dimostrato come, in certi ambienti ibridi che sincronizzano Active Directory locale con Microsoft Entra ID (ex Azure AD), un account cloud apparentemente a bassa priorità possa essere trasformato in un account “ibrido” con privilegi amministrativi, senza passare dalle normali barriere di autenticazione e senza far scattare gli allarmi tradizionali. La dimostrazione — presentata da Dirk-jan Mollema di Outsider Security — ha messo in luce vettori di abuso legati al server di sincronizzazione (Entra Connect), alle modalità di corrispondenza degli account tra on-prem e cloud (soft matching) e a token/claim usati nei meccanismi di delega e in Exchange ibrido. Per chi non mastica quotidianamente questi termini: molte aziende hanno ancora un Active Directory “dentro l’azienda” per utenti e servizi, e allo stesso tempo usano servizi cloud come Microsoft 365. Per fa...
Posta un commento
Continua a leggere »