Según Kaspersky Lab, de junio de 2019 a junio de 2020, un grupo de delincuentes informáticos llamado Transparent Tribe lanzó ciberataques contra varias instituciones ubicadas en Afganistán, Pakistán, la India, Irán y Alemania, entre otros.

Desde junio de 2019 continúa una campaña masiva contra militares y diplomáticos que usa una amplia infraestructura para ejecutar operaciones maliciosas y perfeccionar las herramientas. Los atacantes usaron el malware Crimson que representa un troyano de acceso remoto que permite manipular archivos en discos, hacer capturas de pantalla, escuchar y espiar mediante micrófonos y cámaras integrados, así como robar datos de dispositivos extraíbles.

Transparent Tribe, también conocido como PROJECTM y MYTHIC LEOPARD, es un grupo muy prolífico cuyas actividades se remontan a 2013. Proofpoint publicó un muy buen artículo [PDF] y el grupo ha utilizado constantemente ciertas herramientas y ha creado nuevos programas para campañas específicas. Su vector de infección favorito son los documentos maliciosos con una macro incrustada, que parecen generarse con un constructor personalizado.

Su principal malware es un .NET RAT personalizado conocido públicamente como Crimson RAT, pero a lo largo de los años, también se ha observado el uso de otro malware .NET personalizado y un RAT basado en Python conocido como Peppy.

Durante el año pasado, este grupo ha experimentado una evolución, intensificando sus actividades, iniciando campañas masivas de infección, desarrollando nuevas herramientas y fortaleciendo su enfoque en Afganistán.

Fuente: SecureList