Grupo APT36 intensifica espionagem com malware que "engana" antivírus

João Fernandes Por
Jan. 06, 2026
Grupo APT36 intensifica espionagem com malware que "engana" antivírus
Segurança e Redes

Investigadores da CYFIRMA revelaram detalhes de uma nova e sofisticada campanha de ciberespionagem conduzida pelo grupo Transparent Tribe (também conhecido como APT36). O alvo principal são órgãos governamentais e instituições estratégicas na Índia, utilizando um Trojan de Acesso Remoto (RAT) desenhado para manter o controlo total e persistente sobre os sistemas infetados.

Esta operação destaca-se pela sua capacidade de adaptação, alterando o seu comportamento conforme o software de segurança instalado na máquina da vítima.

A porta de entrada para este ataque é o clássico spear phishing. Os alvos recebem um e-mail com um ficheiro ZIP que contém um atalho do Windows (LNK) disfarçado de documento PDF legítimo. Para evitar suspeitas, o grupo utiliza engenharia social avançada: ao clicar no ficheiro, o utilizador vê realmente um PDF com conteúdo real, enquanto, em segundo plano, o ataque é desencadeado silenciosamente através do utilitário nativo do Windows mshta.exe.

O aspeto mais impressionante desta campanha é a persistência adaptativa. O malware realiza um levantamento (profiling) do sistema para identificar qual o antivírus em execução e ajusta o seu método de ocultação:

  • Kaspersky: Cria diretórios públicos e usa payloads ofuscados via scripts HTA.
  • Quick Heal: Utiliza ficheiros batch e atalhos na pasta de inicialização (Startup).
  • Avast, AVG ou Avira: Copia o payload diretamente para o arranque do sistema.
  • Sem antivírus: Utiliza uma combinação agressiva de chaves de registo do Windows e scripts batch.

Uma vez estabelecida a ligação, o estágio final carrega uma DLL chamada iinneldc.dll. Este componente transforma-se num RAT completo com capacidades totais de espionagem: captura de ecrã (screenshots), gestão de ficheiros, exfiltração de dados sensíveis, controlo de processos e monitorização da área de transferência. A execução ocorre maioritariamente em memória, o que torna a deteção por soluções de segurança tradicionais extremamente difícil.

O grupo Transparent Tribe está ativo pelo menos desde 2013 e tem um historial de evolução constante, utilizando famílias de malware conhecidas como CapraRAT ou Crimson RAT. Esta nova vaga de ataques demonstra uma maturidade operacional elevada, confirmando o APT36 como um dos atores mais persistentes no cenário de ameaças patrocinadas por Estados-nação. Para os especialistas, este caso reforça a necessidade de olhar além da assinatura do ficheiro e monitorizar comportamentos anómalos em binários confiáveis do sistema, como o mshta.exe.

Classifique este item
(0 votos)
Ler 75 vezes
Tagged em
Mais nesta categoria: « Grupo Kimsuky utiliza códigos QR e Apps falsas para espionagem Check Point e NVIDIA unem forças para blindar as "Fábricas de IA" empresariais »

Itens relacionados

Top