O grupo de cibercriminosos Mysterious Elephant, também conhecido como APT-K-47, tem se destacado por usar táticas sofisticadas para atingir organizações, especialmente no Paquistão. Recentemente, uma nova campanha foi identificada, na qual o grupo utiliza iscas relacionadas ao Hajj, um evento religioso significativo, para distribuir uma versão avançada do malware Asyncshell.
APT-K-47 e o uso de iscas temáticas de Hajj para disseminação do malware Asyncshell
De acordo com uma análise da equipe Knownsec 404, a campanha se utiliza de um arquivo CHM (Microsoft Compiled HTML Help), disfarçado como um documento sobre a política do Hajj em 2024. Ao ser executado, o arquivo apresenta um PDF legítimo, hospedado no site do Ministério de Assuntos Religiosos e Harmonia Inter-religiosa do Paquistão. No entanto, em segundo plano, o malware é ativado silenciosamente, permitindo que o atacante ganhe controle remoto do sistema da vítima.
O malware Asyncshell, utilizado desde meados de 2023 por este grupo, tem se mostrado cada vez mais sofisticado. Inicialmente simples, o malware evoluiu para usar canais de comunicação mais seguros, como HTTPS, para se comunicar com o servidor de comando e controle (C2). Além disso, novas versões do Asyncshell passaram a utilizar um script em Visual Basic para exibir o documento falso e lançar o ataque através de uma tarefa agendada no sistema.
Embora o vetor exato de acesso inicial não tenha sido identificado, a estratégia mais provável envolve o uso de e-mails de phishing, que entregam um arquivo ZIP contendo o CHM malicioso e um executável oculto. O uso do WinRAR e sua falha de segurança (CVE-2023-38831) foi identificado como parte do processo de infecção, facilitando a exploração do sistema alvo.
O grupo APT-K-47, que já esteve associado a campanhas de spear-phishing em 2023, utiliza uma infraestrutura de comando e controle dinâmica, mudando constantemente os servidores de controle, o que dificulta a detecção e neutralização dos ataques. Através dessas atualizações constantes no código e na sequência do ataque, o grupo demonstra uma evolução no uso de Asyncshell como uma ferramenta-chave para suas operações cibernéticas.
