SideCopy usa Xeno RAT para atacar al Ministerio de Finanzas de Afganistán

Foto del autor

CyberSecureFox Editorial Team

Publicado:

Investigadores de Seqrite Labs han revelado los detalles de una campaña de phishing dirigida contra el Ministerio de Finanzas de Afganistán, las direcciones provinciales de finanzas y funcionarios públicos de habla pastún. Según los investigadores, detrás del ataque estaría presuntamente el grupo paquistaní SideCopy, que utiliza el troyano de acceso remoto Xeno RAT versión 1.8.7, de código abierto. La campaña ha recibido el nombre en clave Operation XENOFISCAL. Las organizaciones del sector público de Afganistán y del sur de Asia deben revisar de inmediato su infraestructura en busca de signos de compromiso y reforzar el filtrado de archivos adjuntos entrantes.

Cadena de infección: del archivo ZIP al control total

Tal y como informa el investigador de Seqrite Labs Dikshit Panchal, el ataque comienza con la entrega de un archivo ZIP que contiene un acceso directo malicioso de Windows (archivo LNK) con un nombre en pastún, el principal idioma de trabajo en la administración pública afgana. La elección del idioma indica un profundo conocimiento por parte de los atacantes del entorno objetivo.

La cadena técnica de infección se estructura de la siguiente manera:

  1. Al ejecutarse, el archivo LNK invoca la utilidad del sistema mshta.exe para descargar un archivo HTA remoto (HTML Application) desde un dominio comprometido de una institución educativa afgana.
  2. El archivo HTA ejecuta código JavaScript ofuscado directamente en memoria, minimizando los rastros en disco.
  3. El malware se establece de forma persistente en el sistema a través del registro de Windows, haciéndose pasar por el proceso de Microsoft Edge.
  4. Mediante un loader basado en DLL se instala Xeno RAT 1.8.7 y, al mismo tiempo, se muestra a la víctima un documento señuelo para desviar su atención.

Capacidades de Xeno RAT

Xeno RAT es un troyano de acceso remoto de código abierto que se comunica con el servidor de mando y control mediante el protocolo TCP. Según los investigadores, la versión 1.8.7 detectada en esta campaña dispone de un amplio conjunto de funciones:

  • Carga y ejecución de módulos DLL externos
  • Captura de pulsaciones de teclado y de pantallas
  • Supervisión del portapapeles
  • Acceso a la cámara web y al micrófono
  • Operaciones con archivos y exfiltración de datos al servidor
  • Tunelización de red mediante proxy SOCKS5
  • Recopilación de información sobre soluciones antivirus instaladas
  • Creación de tareas programadas para el inicio automático
  • Eliminación de mecanismos de persistencia y autodestrucción

La presencia de una función para recopilar datos sobre antivirus, combinada con la tunelización SOCKS5, indica que los operadores adaptan de forma dirigida sus tácticas a las medidas de protección de la víctima y utilizan los hosts comprometidos como nodos intermedios para el proxy del tráfico.

Contexto de la amenaza: SideCopy y Transparent Tribe

Según los investigadores, SideCopy es un grupo presuntamente vinculado a Pakistán que actúa dentro de la estructura más amplia de Transparent Tribe (también conocida como APT36). Cabe señalar que esta atribución se basa en los datos de una única fuente de investigación y no ha sido confirmada de forma independiente.

La campaña Operation XENOFISCAL se considera parte de un clúster más amplio de actividad maliciosa dirigida contra organismos gubernamentales del sur de Asia. En abril de 2025, según los informes, el mismo grupo fue vinculado a ataques contra diversos sectores en India utilizando Xeno RAT, Spark RAT y CurlBack RAT.

Paralelamente, aparecieron informaciones sobre otra operación de phishing, dirigida a la infraestructura militar india. En esta campaña, según datos no confirmados, se utilizaron archivos maliciosos Linux .desktop, distribuidos a través de WhatsApp con señuelos relacionados con la adquisición de blindados. La cadena de infección desembocaba en el despliegue de un implante en Go, denominado DeskRAT. No obstante, esta información se basa en una única publicación y requiere confirmación independiente.

Evaluación del impacto

El principal grupo de riesgo lo constituyen las instituciones financieras gubernamentales de Afganistán, incluido el Ministerio de Finanzas, las direcciones provinciales de ingresos y finanzas, así como funcionarios individuales que trabajan con documentación en pastún. El compromiso de los organismos financieros puede dar lugar a la filtración de datos presupuestarios, información sobre transacciones internacionales y correspondencia interna.

El uso de un dominio comprometido de una institución educativa como eslabón intermedio de entrega indica que la infraestructura del sector educativo afgano también podría estar comprometida y requiere una auditoría.

Recomendaciones de protección

  • Bloqueo de la ejecución de mshta.exe mediante políticas de AppLocker o Windows Defender Application Control en las estaciones de trabajo donde esta utilidad no sea necesaria para los procesos de negocio.
  • Filtrado de adjuntos: configurar las pasarelas de correo para bloquear archivos ZIP que contengan archivos LNK. Este es uno de los vectores de entrega más comunes en ataques dirigidos.
  • Supervisión del registro: monitorizar la creación de claves de inicio automático sospechosas, en especial aquellas que se hacen pasar por procesos de Microsoft Edge.
  • Control del tráfico de red: detectar conexiones TCP anómalas y túneles SOCKS5 originados en estaciones de trabajo que no deberían iniciar este tipo de tráfico.
  • Auditoría de tareas programadas: revisar la existencia de tareas inusuales en el Programador de tareas de Windows que puedan ser utilizadas por Xeno RAT para mantenerse persistente.
  • Formación del personal: impartir formación dirigida a los empleados de los organismos financieros sobre los riesgos de abrir adjuntos ZIP con archivos LNK, especialmente si proceden de remitentes desconocidos.

Se recomienda a las organizaciones que operan en el sector público de Afganistán y del sur de Asia que, con carácter prioritario, revisen sus estaciones de trabajo en busca de descargas inusuales de archivos HTA a través de mshta.exe, claves de registro sospechosas que imiten a Microsoft Edge y conexiones TCP salientes con indicios de tunelización SOCKS5. Si se detecta cualquiera de estos indicadores, debe aislarse el host y llevarse a cabo una investigación completa del incidente.

Foto del autor

CyberSecureFox Editorial Team

El equipo editorial de CyberSecureFox cubre noticias de ciberseguridad, vulnerabilidades, campañas de malware, actividad de ransomware, AI security, cloud security y security advisories de proveedores. Los materiales se preparan a partir de official advisories, datos de CVE/NVD, alertas de CISA, publicaciones de proveedores e informes públicos de investigadores. Los artículos se revisan antes de su publicación y se actualizan cuando aparece nueva información.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

CyberSecureFox

© 2026 INFO

Sobre el sitio

Sobre CyberSecureFox

Autores

Contacto

Redacción

Estándares editoriales

Correcciones

Legal

Política de privacidad

Términos de servicio