Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Ukierunkowane kampanie spear-phishingowe pozostają jednym z najskuteczniejszych wektorów wejścia w operacjach cyberwywiadowczych. Najnowsza aktywność przypisywana grupie SideCopy pokazuje, że atakujący konsekwentnie wykorzystują dopasowane językowo przynęty, legalne narzędzia systemowe Windows oraz publicznie dostępne trojany zdalnego dostępu do kompromitacji instytucji państwowych. W tym przypadku celem była infrastruktura związana z afgańskim Ministerstwem Finansów, a użytym malware okazał się Xeno RAT.
W skrócie
Kampania została oparta na spear-phishingu z wykorzystaniem archiwum ZIP zawierającego złośliwy plik skrótu LNK. Przynęta została przygotowana w języku paszto, co wskazuje na precyzyjne rozpoznanie środowiska ofiary. Po uruchomieniu skrótu dochodziło do użycia narzędzia mshta.exe w celu pobrania zdalnej aplikacji HTA, a następnie wykonania zaciemnionego kodu JavaScript bezpośrednio w pamięci.
Łańcuch infekcji prowadził do wdrożenia Xeno RAT, ustanowienia trwałości w systemie oraz otwarcia kanału zdalnej kontroli nad hostem. Zakres możliwości malware obejmował między innymi kradzież danych, keylogging, zrzuty ekranu, monitoring schowka oraz obsługę tunelowania SOCKS5.
Kontekst / historia
SideCopy jest powszechnie śledzone jako klaster powiązany z szerszym ekosystemem Transparent Tribe, znanym również jako APT36. Grupa od lat koncentruje się na cyberwywiadzie wymierzonym głównie w podmioty rządowe, wojskowe i organizacje o znaczeniu strategicznym w Azji Południowej. W przeszłości operatorzy tej infrastruktury wykorzystywali różne rodziny RAT-ów i techniki socjotechniczne, regularnie dostosowując zestaw narzędzi do konkretnego celu.
Obecna kampania wpisuje się w szerszy trend operacji ukierunkowanych na instytucje publiczne oraz sektory administracyjne. Dobór języka przynęty, charakter dokumentów-wabików oraz profil ofiar sugerują, że nie był to atak masowy, lecz operacja zaplanowana pod kątem konkretnego środowiska. Według analiz badaczy celem były nie tylko jednostki centralne, ale również regionalne struktury finansowe i urzędnicy posługujący się językiem paszto.
Analiza techniczna
Początkowy etap ataku bazował na wiadomości phishingowej dostarczającej archiwum ZIP. Wewnątrz znajdował się plik LNK nazwany tak, aby sprawiać wrażenie wiarygodnego dokumentu urzędowego. Taki wybór formatu nie jest przypadkowy: skróty Windows są lekkie, często pomijane przez użytkowników i mogą uruchamiać złożone ciągi poleceń bez wzbudzania natychmiastowych podejrzeń.
Po aktywacji LNK uruchamiany był mshta.exe, czyli natywne narzędzie systemu Windows służące do wykonywania aplikacji HTA. Mechanizm ten od lat jest nadużywany przez napastników jako element technik living-off-the-land, ponieważ pozwala wykorzystywać zaufane składniki systemu do uruchamiania złośliwego kodu. W analizowanym przypadku mshta.exe pobierał zdalny komponent z przejętej domeny związanej z afgańskim sektorem edukacyjnym. Następnie wykonywany był zaciemniony JavaScript, co utrudniało analizę statyczną i zwiększało skuteczność obejścia części mechanizmów bezpieczeństwa.
Kolejny etap obejmował wdrożenie trwałości w rejestrze systemowym z wykorzystaniem artefaktów podszywających się pod legalne komponenty, w tym nawiązujących nazwą do przeglądarki Microsoft Edge. Równolegle ofiara otrzymywała dokument-wabik, którego zadaniem było odwrócenie uwagi od rzeczywistej aktywności infekcji. Sam Xeno RAT był ładowany przy użyciu mechanizmu opartego o bibliotekę DLL, co dodatkowo komplikowało analizę i mogło wspierać wykonanie wieloetapowe.
Xeno RAT to otwartoźródłowy trojan zdalnego dostępu, który zyskał popularność z uwagi na szeroki zestaw funkcji i łatwą dostępność. Po zestawieniu połączenia z serwerem C2 przez TCP operator może wydawać polecenia obejmujące zarządzanie plikami, uruchamianie dodatkowych modułów DLL, zbieranie informacji o oprogramowaniu ochronnym, przechwytywanie naciśnięć klawiszy, wykonywanie zrzutów ekranu, odczyt zawartości schowka, a nawet dostęp do kamery lub mikrofonu. Wspierane jest również tunelowanie sieciowe przez SOCKS5, co może służyć zarówno do ukrywania ruchu, jak i do poruszania się bocznego lub wykorzystania zainfekowanego hosta jako punktu pośredniego.
Z perspektywy obrony istotne jest to, że cały łańcuch infekcji łączy kilka dobrze znanych, ale skutecznych technik: socjotechnikę dopasowaną do odbiorcy, nadużycie zaufanych binariów systemowych, wykonanie kodu w pamięci, persistence w rejestrze oraz modułowy RAT zapewniający pełną kontrolę operacyjną.
Konsekwencje / ryzyko
Skutki takiej kompromitacji mogą być poważne, zwłaszcza w środowiskach administracji publicznej i finansów państwowych. Xeno RAT umożliwia długotrwały, ukryty dostęp do stacji roboczych urzędników, co stwarza ryzyko wycieku dokumentów finansowych, danych personalnych, informacji budżetowych oraz komunikacji wewnętrznej. Jeśli zainfekowane konto posiada podwyższone uprawnienia lub dostęp do systemów międzyresortowych, incydent może eskalować do poziomu naruszenia obejmującego większą część infrastruktury administracyjnej.
Dodatkowym zagrożeniem jest możliwość wykorzystania zainfekowanego hosta jako punktu wejścia do dalszych działań rozpoznawczych i lateral movement. Funkcje proxy oraz ładowania kolejnych modułów oznaczają, że operator nie musi ograniczać się do pojedynczej kradzieży danych. W praktyce może rozwijać operację etapowo, dostosowując aktywność do wartości uzyskanych zasobów i reakcji obrońców.
Ryzyko wzrasta również dlatego, że publicznie dostępne narzędzia, takie jak Xeno RAT, obniżają próg wejścia dla grup ofensywnych. Nawet jeśli rdzeń malware jest znany analitykom, odpowiednie modyfikacje w loaderze, infrastrukturze C2 lub łańcuchu dostarczenia potrafią istotnie utrudnić wykrycie i atrybucję.
Rekomendacje
Organizacje publiczne i podmioty infrastruktury krytycznej powinny w pierwszej kolejności ograniczyć możliwość uruchamiania plików LNK pochodzących z niezaufanych źródeł oraz monitorować nietypowe użycie mshta.exe. W praktyce oznacza to wdrożenie polityk blokujących lub ściśle kontrolujących wykonanie HTA, skryptów oraz binariów living-off-the-land, które nie są niezbędne biznesowo.
Należy rozszerzyć detekcję o telemetrię obejmującą:
- uruchomienia mshta.exe z parametrami sieciowymi,
- tworzenie lub modyfikację kluczy Run i innych mechanizmów persistence w rejestrze,
- połączenia wychodzące TCP do nietypowych serwerów C2,
- wykonanie zaciemnionego JavaScript poza standardowym kontekstem użytkowym,
- ładowanie podejrzanych bibliotek DLL przez procesy potomne powiązane z LNK lub HTA.
Warto również wdrożyć rygorystyczne filtrowanie poczty pod kątem archiwów ZIP zawierających skróty Windows, a użytkowników szkolić w rozpoznawaniu wiadomości wykorzystujących lokalny język, terminologię urzędową i dokumenty pozornie zgodne z obiegiem administracyjnym. Kampanie celowane są skuteczne właśnie dlatego, że nie wyglądają jak typowy spam.
Po stronie reagowania kluczowe jest szybkie pozyskanie artefaktów z pamięci, analizy rejestru oraz dzienników procesów potomnych. W przypadku wykrycia podobnej aktywności należy traktować incydent jako potencjalny cyberwywiad, a nie jedynie infekcję pojedynczej stacji. Oznacza to konieczność przeglądu kont uprzywilejowanych, sesji sieciowych, relacji z serwerami plików oraz wszelkich oznak ruchu bocznego.
Dobrą praktyką pozostaje także segmentacja sieci, stosowanie zasad least privilege, ochrona kont administracyjnych oddzielnymi stacjami oraz wdrożenie EDR/XDR zdolnego do korelacji sekwencji: phishing → LNK → mshta → HTA/JavaScript → persistence → komunikacja C2.
Podsumowanie
Kampania przypisywana SideCopy pokazuje, że skuteczny cyberwywiad nie zawsze wymaga zaawansowanych exploitów typu zero-day. Odpowiednio dobrana socjotechnika, wykorzystanie legalnych komponentów Windows i wdrożenie elastycznego RAT-a wystarczają do uzyskania trwałego dostępu do wrażliwych środowisk rządowych. W analizowanym przypadku szczególne znaczenie ma dopasowanie językowe przynęty, modularny łańcuch infekcji oraz szeroki zakres funkcji Xeno RAT, który czyni go użytecznym narzędziem zarówno do rozpoznania, jak i długotrwałej eksfiltracji danych. Dla zespołów bezpieczeństwa to wyraźny sygnał, że obrona przed współczesnym spear-phishingiem musi łączyć kontrolę poczty, monitoring procesów systemowych, analizę persistence oraz szybkie polowanie na oznaki aktywności C2.
Źródła
- Pakistan-Linked SideCopy Targets Afghanistan Finance Ministry with Xeno RAT — https://thehackernews.com/2026/06/pakistan-linked-sidecopy-targets.html
- Operation XENOFISCAL: SideCopy deploying persistent XenoRAT targeting the MoF, Afghanistan — https://www.seqrite.com/blog/operation-xenofiscal-sidecopy-deploying-persistent-xenorat-targeting-the-mof-afghanistan/
- Open-Source Xeno RAT Trojan Emerges as a Potent Threat on GitHub — https://thehackernews.com/2024/02/open-source-xeno-rat-trojan-emerges-as.html?m=0
- Cyber Threat Roundup, 14 Apr 25 — https://www.dc3.mil/Portals/100/Documents/DC3/Missions/DCISE/DCISE%20Cyber%20Threat%20Roundup/2025/april/20250414%20Cyber%20Threat%20Roundup.pdf
- Cyber Threat Intelligence Advisory — https://assets.kpmg.com/content/dam/kpmgsites/in/pdf/2025/05/kpmg-ctip-sidecopy-apt-20-may-2025.pdf.coredownload.inline.pdf