Según Kaspersky Lab, entre junio de 2019 y junio de 2020, un grupo de delincuentes informáticos llamado ‘Transparent Tribe’ lanzó ciberataques contra varias instituciones ubicadas en Afganistán, Pakistán, India, Irán y Alemania, among many others.
Desde aproximadamente junio de 2019, existe una campaña contra militares y diplomáticos, que usa una amplia infraestructura para ejecutar operaciones maliciosas y perfeccionar las herramientas. Los atacantes usaron el malware Crimson, un troyano de acceso remoto que permite manipular archivos en discos, hacer capturas de pantalla, escuchar y espiar mediante micrófonos y cámaras integrados, así como robar datos de dispositivos extraíbles.
‘Transparent Tribe’, también conocido como ‘PROJECTM’ y ‘MYTHIC LEOPARD’, es un grupo que ha ido creciendo mucho, cuyas actividades se remontan a 2013. Proofpoint publicó un muy buen artículo y el grupo ha utilizado constantemente ciertas herramientas y ha creado nuevos programas para campañas específicas. Su vector de infección favorito son los documentos maliciosos con una macro incrustada, que parecen generarse con un constructor personalizado.
Su principal malware es un .NET RAT personalizado conocido públicamente como Crimson RAT, pero a lo largo de los años, también se ha observado el uso de otro malware .NET personalizado y un RAT basado en Python conocido como Peppy. Durante el año pasado, este grupo ha ido intensificando sus actividades, iniciando campañas masivas de infección, desarrollando nuevas herramientas y fortaleciendo su enfoque en Afganistán.