SideCopy mira governo afegão
O grupo de ameaça SideCopy, vinculado ao APT36 (Transparent Tribe) e alinhado ao Paquistão, desferiu uma campanha de spear-phishing altamente direcionada contra o Ministério das Finanças do Afeganistão. A operação atingiu cirurgicamente as 34 diretorias provinciais de receita, conforme revelado pela Seqrite em relatório de inteligência de ameaças publicado em maio de 2026. O ataque culmina na implantação de um XenoRAT 1.8.7 customizado, com comunicação C2 criptografada via infraestrutura bulletproof na Europa.
O vetor inicial é um arquivo ZIP contendo um atalho LNK malicioso com nome em pashto — o idioma dominante nas instituições governamentais afegãs. A tradução do filename aponta para “Lista de Funcionários Introduzidos ao Seminário de Guerra Intelectual e Psicológica”, evidenciando conhecimento operacional profundo do ambiente-alvo. Ao ser executado, o LNK libera um documento decoy com um diretório detalhado de servidores provinciais, incluindo diretores financeiros, chefes de receita e números de telefone celular em dari e pashto — nível de detalhe que sugere coleta de inteligência prévia extensa.
Cadeia de infecção fileless
A campanha emprega uma cadeia de infecção sofisticada projetada para minimizar artefatos em disco e evadir detecção em cada camada:
- O LNK abusa do
mshta.execomo LOLBIN para buscar remotamente um payload HTA de um domínio educacional afegão comprometido (abimj[.]edu[.]af). - O segundo estágio entrega um payload JScript ofuscado com strings hex-encoded e rotina de decodificação Base64 customizada para carregar um Loader DLL.
- O terceiro estágio introduz uma .NET DLL que solta o PDF decoy enquanto estabelece persistência via Registry sob o valor “Edgre” — um typosquatting do Microsoft Edge.
- Um segundo shellcode loader .NET baixa um payload disfarçado (
ayui.vmxx) e o reconstrói inteiramente em memória usandoVirtualAlloc()eCreateThread(). - O malware patcheia
AmsiScanBuffer()para desativar o AMSI antes de usarAssembly.Loadpara execução reflexiva totalmente fileless em memória.
XenoRAT com arsenal completo
O estágio final entrega o XenoRAT 1.8.7, que se conecta ao servidor C2 via TCP usando tráfego criptografado com AES e comprimido com RTL. O SideCopy reforça execução de instância única no host comprometido usando o mutex hardcoded “clouda”. Uma vez implantado, o RAT oferece keylogging, captura de tela, vigilância via webcam e tunelamento de rede SOCKS5.
A Seqrite confirmou que o servidor C2 (185.235.137.106) opera em uma provedora bulletproof em Frankfurt anteriormente vinculada a outros clusters de infraestrutura do SideCopy. O tráfego malicioso foi deliberadamente posicionado junto a ativos governamentais legítimos do Afeganistão.
A adoção do XenoRAT se alinha com a mudança documentada do SideCopy em direção a malwares open-source customizados, seguindo campanhas anteriores com AsyncRAT.
Indicadores de comprometimento
- ZIP Archive: 194B912C242604D6F9A79369F22338C58A13CE0CC2ED280CE505075808BC2F14
- LNK File: 3B4194BDFE40D94031A94B30397FFD8A4B09D0A4057668E897B8BDCD1703DD01
- XenoRAT: 9AE3D785486022AF82EA92E51B26E3F55C1BBA88A7BE2AD9790F4240E8499D14
- C2 IP: 185.235.137[.]106
- Domínio de entrega: abimj[.]edu[.]af
- Mutex: clouda
Proteção recomendada: monitore execuções de mshta.exe com argumentos de URL remota, inspecione chaves de persistência Registry com valores que imitem produtos Microsoft legítimos (como “Edgre”), bloqueie conexões de saída para a infraestrutura C2 conhecida e implemente detecção de patcheamento de AMSI em endpoints.