APT36, noto anche come Transparent Tribe, ha lanciato a metà dicembre 2025 una campagna di spear-phishing altamente sofisticata contro enti governativi e strategici indiani, utilizzando file LNK multi-stadio, payload fileless e tecniche di persistenza adattiva per ottenere accesso prolungato, raccogliere intelligence e sorvegliare sistemi sensibili.
Cosa leggere
Profilo del gruppo APT36 e contesto geopolitico
Il gruppo APT36, conosciuto nella comunità di sicurezza come Transparent Tribe, è attivo da anni in operazioni di cyber spionaggio rivolte prevalentemente contro l’India. Le sue campagne mostrano una forte coerenza tematica, con un focus su governi, difesa, accademia e infrastrutture strategiche, e un allineamento geopolitico attribuito al Pakistan.
Leggi tutte le notizie su APT36
L’operazione individuata il 15 dicembre 2025 rappresenta un’evoluzione significativa delle capacità del gruppo. Non si tratta di una campagna opportunistica, ma di un’azione mirata alla raccolta di informazioni nel lungo periodo, con tecniche progettate per eludere difese moderne, adattarsi agli ambienti di sicurezza locali e mantenere la persistenza senza generare rumore operativo.
🔴 OSSERVATORIO INTELLIGENCE: APT & GEOPOLITICA LIVE
Vettore iniziale: spear-phishing con file LNK mascherati
La catena di infezione inizia con email di spear-phishing altamente contestualizzate, inviate a destinatari selezionati all’interno di organizzazioni governative e accademiche indiane. I messaggi contengono un archivio ZIP, denominato in modo plausibile come “Online JLPT Exam Dec 2025.zip”, che sfrutta temi educativi e amministrativi per aumentare il tasso di apertura.
All’interno dell’archivio è presente un file LNK con doppia estensione, ad esempio “Online JLPT Exam Dec 2025.pdf.lnk”, progettato per apparire come un documento PDF. Il collegamento supera i 2 MB di dimensione e incorpora elementi visivi reali di un PDF legittimo, una scelta deliberata per rafforzare l’inganno e ridurre il sospetto dell’utente.
Questa tecnica sfrutta una debolezza comportamentale ben nota: molti sistemi Windows non mostrano le estensioni complete dei file, rendendo il collegamento indistinguibile da un documento innocuo a un primo sguardo.
Abuso di mshta.exe e avvio dell’infezione fileless
Quando il file LNK viene aperto, non esegue direttamente un binario malevolo, ma avvia mshta.exe, uno strumento Windows legittimo utilizzato per eseguire applicazioni HTML. Attraverso questo LoLBin, il malware scarica ed esegue uno script HTA remoto, ospitato su domini controllati dagli attaccanti, operando in finestre minimizzate per ridurre la visibilità.
In parallelo, il flusso apre un PDF decoy autentico, mostrando alla vittima un documento coerente con il tema dell’email e distraendola mentre l’infezione prosegue in background. Questa combinazione di esecuzione indiretta e contenuto esca è centrale nella strategia di APT36 per mantenere lo stealth iniziale.
Architettura malware multi-stadio e abuso del runtime .NET
Lo script HTA funge da loader per una catena multi-stadio interamente in-memory. La prima fase decritta un oggetto .NET di circa 2.3 KB, sfruttando classi come ResourceDictionary e ObjectDataProvider per disabilitare i controlli di deserializzazione sicura. Questa tecnica consente di caricare codice arbitrario in memoria senza scritture su disco.
La fase successiva carica una DLL fileless di circa 359 KB, che costituisce il payload principale. L’assenza di artefatti persistenti sul file system rende l’individuazione estremamente complessa per soluzioni basate su firme statiche e scansioni tradizionali.
Persistenza adattiva in base all’antivirus
Uno degli elementi più sofisticati della campagna è la persistenza AV-aware. Il malware esegue query WMI per identificare il software di sicurezza installato sul sistema e adatta dinamicamente la tecnica di persistenza.
In presenza di Kaspersky, viene creato uno script HTA in directory pubbliche e un collegamento nella cartella Startup tramite PowerShell. Con Quick Heal, il malware utilizza file batch e shortcut dedicati. In ambienti con Avast, AVG o Avira, vengono copiate direttamente componenti malevole nelle directory di avvio automatico. In assenza di antivirus rilevati, la persistenza viene ottenuta tramite modifiche al registro di sistema.
Questa flessibilità dimostra una conoscenza approfondita degli ambienti target e una capacità di adattamento progettata per massimizzare la sopravvivenza del malware.
Capacità del RAT e sorveglianza a lungo termine
Il payload finale, una DLL identificata come iinneldc.dll, implementa un RAT completo con esecuzione su più thread. Uno dei thread gestisce la comunicazione C2, collegandosi all’indirizzo 2.56.10.86:8621 e utilizzando crittografia AES con una chiave hardcoded per proteggere i comandi.
Le funzionalità includono raccolta dettagliata di informazioni di sistema, enumerazione di processi e software installato, cattura di screenshot, monitoraggio e manipolazione della clipboard, esecuzione di comandi remoti tramite cmd.exe, e gestione completa dei file locali. È presente anche un modulo di monitoraggio USB, utile per il tracciamento di movimenti laterali tramite dispositivi rimovibili.
L’impatto è chiaramente orientato allo spionaggio persistente, con raccolta continua di documenti Office, PDF e dati sensibili, piuttosto che a sabotaggio immediato.
Indicatori di compromissione e infrastruttura C2
I ricercatori hanno identificato diversi indicatori di compromissione associati alla campagna, tra cui hash SHA-256 di file LNK e payload intermedi, domini come innlive.in e drjagrutichavan.com, e l’IP 2.56.10.86 utilizzato per il comando e controllo.
Questi indicatori consentono attività di threat hunting proattivo, ma gli analisti sottolineano che APT36 tende a ruotare rapidamente infrastrutture e hash, rendendo necessario un monitoraggio continuo basato su comportamenti piuttosto che su IOC statici.
Tecniche MITRE ATT&CK e mappatura dell’attacco
La campagna copre gran parte del ciclo di attacco descritto dal framework MITRE ATT&CK, includendo spear-phishing con allegati, esecuzione indiretta tramite mshta, abuso di interpreti di comando, persistenza tramite Startup e registro, mascheramento di file e comunicazioni C2 cifrate su protocollo web e TCP raw. Questa ampiezza tecnica evidenzia la maturità operativa del gruppo e la sua capacità di integrare più tecniche consolidate in un’unica catena coerente e resiliente.
Strategie di mitigazione e difesa
Le mitigazioni raccomandate includono il blocco preventivo dei file LNK provenienti da email, in particolare se compressi in archivi ZIP, la restrizione dell’uso di mshta.exe e PowerShell tramite policy applicative, e l’adozione di soluzioni EDR capaci di rilevare catene di esecuzione indirette e comportamenti fileless.
Mappa della Guerra Cibernetica
La formazione degli utenti resta cruciale, soprattutto sulla visualizzazione delle estensioni complete dei file e sul riconoscimento di allegati sospetti anche quando accompagnati da documenti apparentemente legittimi.
Domande frequenti su APT36 e il malware LNK
APT36 è un gruppo di cybercriminali o di spionaggio statale?
APT36 è considerato un gruppo di cyber spionaggio con obiettivi politici e strategici, storicamente focalizzato su interessi indiani e allineato al Pakistan.
Perché l’uso di file LNK è così efficace?
I file LNK possono eseguire comandi complessi e sfruttano il fatto che le estensioni complete spesso non sono visibili agli utenti, rendendoli ideali per il masquerading.
Cosa rende questa campagna più sofisticata delle precedenti?
L’uso di payload completamente fileless, la persistenza adattiva basata sull’antivirus e l’abuso coordinato di tool Windows nativi indicano un’evoluzione significativa delle capacità del gruppo.
Qual è il rischio principale per le organizzazioni colpite?
Il rischio non è l’interruzione immediata, ma la sorveglianza a lungo termine e l’esfiltrazione continua di informazioni sensibili e strategiche.
