Хакерская группа Transparent Tribe запустила серию кибершпионских атак, нацеленных на ключевые государственные и научные учреждения в Индии. Основной инструмент — модифицированный троян удалённого доступа (RAT), который обеспечивает стойкое присутствие в заражённых системах. Согласно данным Cyfirma, атаки начинают с фишинговых писем с архивами, маскирующимися под PDF-документы. При открытии файла активируется HTA-скрипт, который загружает вредоносный компонент в оперативную память, открывая при этом поддельный PDF для отвлечения внимания.
Скрипт взаимодействует с системой через ActiveX, адаптируя своё поведение под параметры устройства. Способы закрепления в системе зависят от установленного антивируса: например, для «Касперского» создаётся скрытая папка, а для Quick Heal — bat-файл. Основной компонент — библиотека «iinneldc.dll» — выполняет функции шпионажа, получая доступ к файлам и системе, перехватывая данные.
Недавние атаки также связаны с фишингом через правительственные документы, что повышает доверие к вложениям. Библиотека устанавливает связь с командным сервером, отправляя зашифрованные GET-запросы для передачи данных. Transparent Tribe продолжает оставаться серьёзной угрозой для индийских структур, нацеливаясь на сбор разведывательной информации.
