El Grupo Donot Apt ha realizado recientemente una campaña de espionaje cibernético en varias etapas dirigido al Ministerio de Asuntos Exteriores de Italia, según Trellix. El grupo, atribuido por varias compañías de inteligencia de amenazas cibernéticas a la India, se hizo pasar por funcionarios de defensa europeos, mencionando su visita a Bangladesh, y atrajo sus objetivos para hacer clic en un enlace malicioso de Google Drive. «Si bien históricamente se centró en Asia del Sur, este incidente dirigido a las embajadas del sur de Asia en Europa indica una clara expansión de sus intereses hacia las comunicaciones e inteligencia diplomáticas europeas», dijeron los investigadores de Tellix en un informe del 8 de julio. Antecedentes sobre Donot Apt Donot Apt, también conocido como APT-C-35, Mint Tempest, Origami Elephant, Sector02 y virrey Tiger, ha estado activo desde al menos 2016. El grupo se centra tradicionalmente en las campañas de ciber espionaje con intereses geopolíticos del sur de Asia. Sus operaciones están marcadas por la vigilancia persistente, la exfiltración de datos y el acceso a largo plazo. El grupo es conocido por usar malware Windows personalizado, incluidas las puertas traseras como YTY y GEDIT, que a menudo se entregan a través de correos electrónicos de phishing o documentos maliciosos. Campaña de espionaje de varias etapas Objetivos de la defensa italiana El último ataque de Donot APT identificado por Trellix comenzó con un correo electrónico de phishing de lanza originado por una dirección de Gmail, int.dte.afd.1@gmail[.]com, que se hizo pasar por correspondencia diplomática oficial. El objetivo era una entidad gubernamental italiana que operaba dentro del sector diplomático. El correo electrónico aprovechó los temas diplomáticos relacionados con la coordinación del fijación de defensa entre Italia y Bangladesh. Aunque el contenido exacto del cuerpo no se reunió en los hallazgos, la línea de asunto «Visita de defensa italiana a Dhaka, Bangladesh» sugiere un señuelo diseñado para aparecer como una correspondencia diplomática legítima, que razonablemente contendría accesorios o enlaces de documentos. El correo electrónico contenía un enlace de Google Drive que dirigía al destinatario a un archivo de rar malicioso llamado syclrltr.rar. Tras la ejecución, el archivo implementó noflog.exe, que luego activó un archivo por lotes (djkggosj.bat) en el directorio % TEMP % del sistema. Para mantener la persistencia, el malware estableció una tarea programada llamada «PerfectTaskMaintain», configurada para ejecutarse cada 10 minutos. Esto aseguró la comunicación continua con el servidor de comando y control de los atacantes (C2), lo que permite el acceso sostenido a la red comprometida. El objetivo final del ataque era establecer un punto de apoyo dentro de la infraestructura del objetivo y exfiltrar información confidencial. El análisis de la carga útil reveló su asociación con el malware Loptikmod, una herramienta que supuestamente utilizó exclusivamente el grupo Donot APT desde 2018. Esta cadena de infección de varias etapas demostró un enfoque sofisticado para evadir la detección mientras mantenía el acceso a largo plazo a los sistemas de las víctimas. El uso de servicios legítimos, como Google Drive, y las tácticas de phishing de lanza cuidadosamente elaboradas subrayaron los esfuerzos de los atacantes para parecer creíbles y evitar las defensas de seguridad iniciales. «La reciente orientación de un Ministerio de Asuntos Exteriores europeos destaca el alcance en expansión de Donot APT y el interés persistente en recopilar información confidencial, subrayando la necesidad de una mayor vigilancia y medidas de seguridad cibernética robusta», concluyó el informe Trellix.