Executive Summary

Während einer Untersuchung einer jüngsten TAG-140-Kampagne, die auf indische Regierungsorganisationen abzielte, identifizierte die Insikt Group eine modifizierte Variante des DRAT-Fernzugriffstrojaners (RAT), die wir als DRAT V2 bezeichneten. TAG-140 weist Überschneidungen mit SideCopy auf, einer operativen Untergruppe, die als Untercluster oder operativer Partner von Transparent Tribe (auch als APT36, ProjectM oder MYTHIC LEOPARD verfolgt wird) eingestuft wird. TAG-140 hat in seinem Malware-Arsenal und seinen Verbreitungstechniken kontinuierlich iterative Weiterentwicklungen und Vielfalt bewiesen. Diese jüngste Kampagne, die das indische Verteidigungsministerium über ein geklontes Pressemitteilungsportal nachahmte, markiert eine leichte, aber bemerkenswerte Veränderung sowohl in der Malware-Architektur als auch in der Command-and-Control-Funktionalität (C2).

Die Bereitstellung von DRAT V2 spiegelt die Weiterentwicklung der Remote-Access-Tools von TAG-140 wider, indem von einer .NET-basierten Version von DRAT zu einer neuen, in Delphi kompilierten Variante übergegangen wird. Beide Versionen gehören zu den zahlreichen RATs, die die Gruppe eingesetzt hat, wie z. B. CurlBack, SparkRAT, AresRAT, Xeno RAT, AllaKore und ReverseRAT, was auf ein Muster der rotierenden Malware-Nutzung hinweist. DRAT V2 aktualisiert sein benutzerdefiniertes, TCP-basiertes, serverinitiiertes C2-Protokoll und erweitert die funktionalen Fähigkeiten, einschließlich der Ausführung beliebiger Shell-Befehle und einer verbesserten Interaktion mit dem Dateisystem.

Analysis of the infection chain indicates that initial access was achieved through a ClickFix-style social engineering lure. Victims were enticed to execute a malicious script via mshta.exe, which led to the execution of the BroaderAspect .NET loader, which has previously been used by TAG-140. BroaderAspect establishes persistence and subsequent DRAT V2 installation and execution.

Die Insikt Group schreibt diese Aktivität basierend auf Überschneidungen in der Domain, der Abstammung der Malware und den Eigenschaften mit ziemlicher Sicherheit der Infrastruktur TAG-140 zu. Die Verbesserungen von DRAT V2 deuten auf eine wahrscheinliche Erhöhung der Kapazität von TAG-140 für maßgeschneiderte Post-Exploitation und laterale Bewegungen in Opfernetzwerken hin. Daher ist sein Auftreten ein relevanter Indikator für die fortschreitende Entwicklung der Fähigkeiten des Bedrohungsakteurs und dessen strategische Zielsetzung auf Indiens Verteidigungs- und Regierungseinrichtungen.

Wichtige Erkenntnisse

• DRAT V2 adds a new command (exec_this_comm) for arbitrary shell command execution, enhancing post-exploitation flexibility.
• Die Malware verschleiert ihre C2-IP-Adressen mithilfe von Base64-Kodierung und vorangestellten Zeichenfolgen, um eine einfache Dekodierung zu erschweren.
• Im Vergleich zu seinem Vorgänger reduziert DRAT V2 die Verschleierung von Zeichenketten, indem es die meisten Befehlskopfzeilen im Klartext belässt, wobei wahrscheinlich die Zuverlässigkeit der Analyse Vorrang vor der Tarnung hat.
• DRAT V2 aktualisiert sein benutzerdefiniertes, serverinitiiertes TCP-Protokoll, um Befehle sowohl in ASCII als auch in Unicode zu unterstützen, während es nur in ASCII antwortet.
• DRAT V2 verfügt nicht über fortschrittliche Anti-Analyse-Techniken und verlässt sich auf grundlegende Infektions- und Persistenzmethoden, wodurch es über statische und Verhaltensanalysen erkennbar ist.

Hintergrund

TAG-140 ist eine Gruppe von Bedrohungsakteuren, die sich mit der öffentlich gemeldeten Gruppe Sidecopy überschneidet, einer mutmaßlich mit dem pakistanischen Staat verbundenen Advanced Persistent Threat (APT)-Gruppe, die als Untergruppe bzw. operativer Partner von Transparent Tribe (auch als APT36, ProjectM oder MYTHIC Leopard bekannt) gilt. Seit mindestens 2019 ist TAG-140 aktiv und zielt hauptsächlich auf indische Einrichtungen ab. Die jüngsten Aktivitäten haben sich über die traditionellen Bereiche Regierung, Verteidigung, Schifffahrt und Wissenschaft hinaus erweitert und umfassen nun auch Organisationen, die mit den Eisenbahn-, Öl- und Gasministerien sowie dem Außenministerium des Landes verbunden sind.

Die Gruppe hat gezeigt (1, 2, 3), dass sich ihre Vorgehensweise ständig weiterentwickelt: Sie nutzt Spearphishing-Kampagnen, verwendet HTML-Anwendungen (HTAs) oder Microsoft Installer (MSI)-Pakete zur Verbreitung, nutzt Software-Schwachstellen aus (z. B. WinRAR) und verwendet viele verschiedene RATs wie CurlBack, SparkRAT, AresRAT, Xeno RAT, AllaKore, ReverseRAT und DRAT. Ihre Infektionsketten zielen in der Regel sowohl auf Windows- als auch auf Linux-Umgebungen ab.

Insikt Group analysierte Artefakte aus einer kürzlich durchgeführten ClickFix-Kampagne, die das indische Ministerium nachahmte und die wir den TAG-140-Bedrohungsakteuren zugeschrieben haben. TAG-140 erstellte eine gefälschte Website, die das offizielle Pressemitteilungsportal des indischen Verteidigungsministeriums nachahmt, indem sie die bösartige Domain email[.]gov[.]in[.]drdosurvey[.]info verwendeten, die der legitimen Regierungswebsite mod[.]gov[.]in stark ähnelt. (urlscan.io). Die geklonte Website replizierte die Struktur und das Layout des authentischen Portals und listete Pressemitteilungen von September 2023 bis April 2025 auf. Allerdings war nur der Link für März 2025 aktiv.

Das Klicken auf den aktiven Link vom März 2025 löste einen Social-Engineering-Angriff im ClickFix-Stil aus. Die Insikt Group führte eine zusätzliche Analyse der TAG-140 Windows-Infektionskette durch und stellte fest, dass sie einer Infektionskette ähnelt, die von Seqrite Labs in ihrer Forschung zur TAG-140-Aktivität gemeldet wurde und die Ende 2024 identifiziert wurde. Unsere Analyse der Infektionskette (Abbildung 2) zeigt, dass die endgültige Nutzlast eine neue, auf Delphi basierende Variante von DRAT ist (als DRAT V2 bezeichnet). Zuvor wurde DRAT in .NET entwickelt und erstmals im Jahr 2023 der SideCopy-Aktivität zugeschrieben. Die aktualisierte Variante umfasst neue Befehlsfunktionen und ein leicht modifiziertes C2-Protokoll.

1. The user is directed to the URL below (urlscan.io). While we do not know the delivery mechanism used, based on TAG-140’s tactics, techniques, and procedures (TTPs), this is likely delivered as a spearphishing email enticing the user to click on the link. The user is then lured to click on the “March 2025 Release” link. From a Windows machine, clicking on that link redirects the user to the uniform resource identifier (URI) /captcha/windows.php.

2. The redirected website (urlscan.io) displays the warning “**Disclosure - For Official Use Only (FOUO)**” and asks the user to click “continue.”

3. Clicking “continue” runs JavaScript that copies the malicious command below to the clipboard and directs the user to paste and execute it in a command shell. The command uses mshta.exe to fetch and run a remote script (index.php/sysinte.hta) from TAG-140’s infrastructure, _trade4wealth[.]in_.

4. Execution of index.php/sysinte.hta creates and executes the BroaderAspect loader, first reported on by Seqrite Labs. BroaderAspect performs the following actions:

a. Lädt das Köderdokument survey.pdf von der folgenden URL herunter und öffnet es:

b. Creates and executes a Windows batch file named noway.bat, which contains a command that establishes persistence for DRAT v2 by adding a registry entry to a Microsoft-defined autostart location

c. Lädt die DRAT V2-Nutzlast von den folgenden URLs herunter und dekomprimiert sie:

d. Führt DRAT V2 mit dem folgenden Befehl aus:

Die Insikt Group ordnet diese Aktivität TAG-140 mit mäßigem Vertrauen zu, basierend auf den folgenden Aspekten:

1. Die Nachahmung und das Anvisieren indischer Verteidigungsorganisationen, wie das indische Verteidigungsministerium, stimmt mit bekannten TAG-140-Zielen überein.
2. Die Verwendung des BroaderAspect-Loaders und von DRAT (beide Varianten), die beide anscheinend ausschließlich von TAG-140 verwendet werden (1, 2), steht im Einklang mit den TTPs von TAG-140.
3. Die Domäne email[.]gov[.]in[.]drdosurvey[.]info überschneidet sich mit anderen APT36-Angriffen (1, 2) und verwendet Namecheap als seinen Hosting-Anbieter. Wir haben in mehreren Fällen beobachtet, dass TAG-140 häufig Namecheap, GoDaddy und Hostinger verwendet (1, 2, 3, 4).
4. Zusätzlich zu DRAT V2 hat TAG-140 zuvor Delphi-basierte Malware verwendet, wie zum Beispiel die Open-Source-Software AllaKore RAT.

Technische Analyse

DRAT V2 ist ein leichtgewichtiger RAT, der in Delphi entwickelt wurde und eine Weiterentwicklung der früheren .NET-basierten Variante darstellt, die erstmals TAG-140 im Jahr 2023 zugeschrieben wurde. DRAT V2 führt mehrere Aktualisierungen gegenüber seinem Vorgänger ein, darunter:

• Ein Update seines benutzerdefinierten, vom TCP-Server initiierten C2-Protokolls.
• Erweiterte Base64-Verschleierung der C2-Infrastruktur mit hinzugefügten vorangestellten Zeichenfolgen
• Aktualisierte Befehlsheader und ein neuer Befehl zur Ausführung beliebiger Windows-Befehle

Eine Übersicht auf hoher Ebene über DRAT V2 wird in Abbildung 3 bereitgestellt.

DRAT V2 unterstützt eine Reihe von Befehlen, die es TAG-140-Operatoren ermöglichen, eine breite Palette von Interaktionen mit kompromittierten Hosts durchzuführen. Nach dem Aufbau der Kommunikation wartet die Malware passiv auf Anweisungen vom Command-and-Control-Server (C2). Zu den unterstützten Operationen gehören die Systemaufklärung, wie das Sammeln des Benutzernamens, der Betriebssystemversion, der Systemzeit und des aktuellen Arbeitsverzeichnisses, sowie die Validierung der Konnektivität und die Aufzählung lokaler Dateisysteme und Verzeichnisse.

Über die Aufklärung hinaus ermöglicht DRAT V2 eine aktivere Interaktion mit der Zielumgebung. Es ermöglicht Dateiübertragungen in beide Richtungen zwischen dem Host und der C2-Infrastruktur, sodass die Betreiber zusätzliche Nutzlasten hochladen oder Daten exfiltrieren können. Zusätzlich unterstützt es die Ausführung lokaler Dateien und beliebiger Windows-Shell-Befehle und gibt die Ausgabe an das C2 zurück. Diese Funktionen bieten TAG-140 eine dauerhafte und flexible Kontrolle über das infizierte System und ermöglichen sowohl automatisierte als auch interaktive Aktivitäten nach der Ausnutzung, ohne dass zusätzliche Malware-Tools bereitgestellt werden müssen. Abbildung 4 bietet eine Zusammenfassung der Fähigkeiten von DRAT V2.

DRAT V2 Befehle

DRAT V2 verwendet weiterhin eine Befehlsschnittstelle, die ein benutzerdefiniertes, textbasiertes TCP-Protokoll ist, das vom Server initiiert wird, um Fernsteuerungsfunktionen über einen kompromittierten Host zu unterstützen. Die Ausführung von Befehlen, die Manipulation von Dateien und die Aufklärung des Systems werden durch ein strukturiertes Format ermöglicht.

Das DRAT V2-Befehlsprotokoll zeichnet sich durch die Verwendung von Tilde (~) und Pipe (|) als Trennzeichen aus. Sobald die Verbindung mit ihrer C2-Infrastruktur hergestellt ist, wechselt die Malware in einen passiven Zustand und wartet auf eingehende Anweisungen vom Server. Diese Anweisungen umfassen neun verschiedene Befehlstypen (Tabelle 1), die Fähigkeiten wie Host-Erkennung, Dateiverwaltung und direkte Ausführung beinhalten. Jeder Befehl folgt einem deterministischen Format, das es dem Operator ermöglicht, Aktionen nach der Kompromittierung konsistent und mit geringem Aufwand zu orchestrieren.

Tabelle 1: DRAT V2 commands (Source: Recorded Future)

Dieser Befehlssatz ermöglicht es TAG-140, eine Reihe von Post-Exploitation-Zielen zu unterstützen, einschließlich Host-Aufklärung, Daten-Staging und potenzieller lateraler Bewegungen. Insbesondere erweitert DRAT V2 die Funktionalität seines Vorgängers durch die Integration der Unterstützung für die Ausführung beliebiger Befehle. Anhang B enthält detaillierte Aufschlüsselungen der einzelnen Befehle, einschließlich der Parameter.

Figure 5 shows an example of the C2 communication between an infected host and the C2. In this example, the C2 server sends the command exec_this_comm~whoami, which tells the infected host to execute the command whoami. The infected host then responds with the output of the command.

DRAT vs DRAT V2

Diese vergleichende Analyse hebt die technischen und betrieblichen Unterschiede zwischen dem ursprünglichen DRAT und DRAT V2 hervor. Der Wechsel der Entwicklungsplattformen markiert einen bedeutenden architektonischen Übergang, der beeinflusst, wie die Malware kompiliert, ausgeführt und möglicherweise entdeckt wird. Obwohl beide Varianten ähnliche Kernfunktionen wie leichte RATs beibehalten, führt DRAT V2 bedeutende Verbesserungen in seiner Befehlsstruktur, den C2-Verschleierungstechniken und dem Kommunikationsprotokoll ein, während es gleichzeitig die Verwendung der String-Verschleierung minimiert. Diese Anpassungen spiegeln wahrscheinlich die kontinuierlichen Bemühungen von TAG-140 wider, ihre Tools weiterzuentwickeln, um eine bessere Umgehung, Modularität und Flexibilität bei Post-Exploitation-Operationen zu erreichen.

Befehlsheader-Variation

While both DRAT variants implement similar commands for remote administration, each version uses distinct naming conventions for command headers. For instance, DRAT’s system information command is labeled getInformitica, whereas DRAT V2 uses initial_infotonas. DRAT V2 also introduced a new command, exec_this_comm, which enables arbitrary shell command execution on the infected host, an enhancement not present in the original DRAT and indicative of expanded post-exploitation capabilities. The below comparison table (Table 2) presents a detailed, line-by-line breakdown of request and response headers across both versions. In that table, command mappings highlighted in green denote commands that are functionally retained across both variants, while items highlighted in yellow represent new additions exclusive to DRAT V2.

Tabelle 2: Befehlsvergleich zwischen DRAT und DRAT V2 (Quelle: Recorded Future)

Textformat in C2-Kommunikation

Beide Versionen nutzen textbasierte Kommunikationsprotokolle für Command-and-Control-Interaktionen (C2). Allerdings unterscheiden sie sich in den Codierungsanforderungen: DRAT V2 akzeptiert Befehle sowohl in Unicode als auch in ASCII, antwortet jedoch immer in ASCII, während das ursprüngliche DRAT Unicode sowohl für die Eingabe als auch für die Ausgabe vorschreibt (Abbildung 6).

Unterschiede in Systeminformationen

The system information response of both versions includes many similarities, but several differences include the text in Unicode, different command request headers, and WinDefender instead of win-def, both of which are hard-coded. Finally, the format of the Windows version in the system information response varies between DRAT and DRATV2. DRAT simply returns the value from the registry key, Software\Microsoft\Windows NT\CurrentVersion\ProductName, while DRAT V2 gets the Windows version using the API call GetVersionExW() and returns a custom string that is Base64-encoded in the source code. Table 3 outlines the differences between the two commands.

Tisch 3: DRAT vs DRAT V2 system information request and response fields (Source: Recorded Future)

Unterschiede in der C2-Obfuskation

In beiden DRAT-Varianten sind die C2-Informationen Base64-codiert. DRAT codiert die C2-IP-Adresse direkt, während DRAT V2 seinen Ansatz zur C2-Verschleierung ändert, indem er der IP-Adresse vor der Base64-Codierung eine der folgenden Zeichenfolgen voranstellt:

• <><><><><><><><><><><>
• XXXXXXXXXXXXXXXXXXXXXX

Diese vorangestellten Muster dienen wahrscheinlich als rudimentäre Integritätsprüfungen oder helfen, eine triviale Dekodierung durch Analysten und automatisierte Werkzeuge zu verhindern.

String-Verschleierung

Strategien zur Zeichenkettenobfuskierung unterscheiden sich ebenfalls zwischen den Varianten. DRAT verwendet ein umfangreicheres Schema, das einen Substitutionsalgorithmus nutzt, um sowohl Befehle als auch Betriebszeichenfolgen zu kodieren. DRAT V2 hingegen verschleiert selektiv Zeichenfolgen, wie die Windows-Version und C2-Informationen, belässt jedoch die Befehlsheader im Klartext. Dieser begrenzte Verschleierungsansatz in DRAT V2 könnte einen Kompromiss zwischen Tarnung und Zuverlässigkeit der Analyse darstellen.

Erkennungen

Gegenmaßnahmen

• Blockieren oder überwachen der ausgehenden TCP-Verbindungen zu ungewöhnlichen Zielports, die von DRAT V2 für C2-Operationen genutzt werden, wie 3232, 6372 und 7771. Überwachung des anomalen TCP-Verkehr, der nicht mit bekannten Protokollen übereinstimmt, die auf hoch nummerierte Ports abzielen.
• Überwachung des Netzwerkverkehrs auf ausgehende Befehlsantworten und eingehende Shell-Befehlsanweisungen (Anhang B), die in Base64-, ASCII- oder Unicode-Formaten kodiert sind. Betonen Sie die Dekodierung und Inspektion des Datenverkehrs, insbesondere bei TCP-Sitzungen, die über ungewöhnliche Ports aufgebaut werden.
• Verwendung von Erkennungsregeln in diesem Bericht, um die Ausführung und Persistenz von DRAT V2 über Registrierungsschlüssel, dateibasierte Loader und codierte C2-Muster zu identifizieren. Setzen Sie benutzerdefinierte YARA-Regeln ein, um sowohl .NET- als auch Delphi-kompilierte DRAT-Proben zu erkennen.
• Deploy detection logic to monitor , which invokes remote scripts or launches secondary payloads. This is a key component in the infection chain, where malicious HTA scripts fetch and launch DRAT loaders like BroaderAspect.
• Monitor registry modification events, particularly those involving HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. TAG-140 uses these for persistence by executing DRAT V2 via disguised filenames in C:\Users\Public</span>.

Ausblick

Die Bereitstellung von DRAT V2 durch TAG-140 entspricht der langjährigen Praxis der Gruppe, eine breite und austauschbare Suite von Remote-Access-Trojanern zu pflegen. Diese fortgesetzte Diversifizierung erschwert die Zuordnung, Erkennung und Überwachung von Aktivitäten. DRAT V2 scheint eher eine weitere modulare Ergänzung als eine endgültige Weiterentwicklung zu sein, was die Wahrscheinlichkeit erhöht, dass TAG-140 weiterhin RATs über Kampagnen hinweg rotieren wird, um Signaturen zu verschleiern und die operative Flexibilität zu bewahren.

Trotz dieser Herausforderungen zeigt die DRAT V2-Infektionskette einen begrenzten Einsatz von Techniken zur defensiven Umgehung oder Anti-Analyse. Das Fehlen von Code-Verschleierung, Sandbox-Umgehung oder komplexem Loader-Verhalten erhöht die Wahrscheinlichkeit einer frühzeitigen Erkennung durch grundlegende Telemetrie und statische Analyse. Sicherheitsteams sollten damit rechnen, dass weiterhin mit Malware-Tools und Infektionsketten experimentiert wird. Die Überwachung der Spearphishing-Infrastruktur, der Wiederverwendung von Loadern und von Verhaltensindikatoren wird entscheidend sein, um die Sichtbarkeit der TAG-140-Aktivitäten aufrechtzuerhalten.

Anhang A: Indikatoren für Kompromittierungen

Anhang B: DRAT V2-Befehlsparameter und -Antworten

Systeminformationen

The initial_infotonas command initiates system-level reconnaissance by requesting host environment details, including username, OS version, timestamp, and working directory. The response is structured across seven fields.

Echo/Verbindungstest

The sup command is used to verify active communication with the compromised host.

Volumes auflisten

The lst_of_sys_drvs command allows DRAT V2 to enumerate accessible logical drives on the target machine.

Verzeichnisse mit Attributen auflisten

The here_are_dir_details command retrieves structured metadata for directories and files, including name, size, timestamp, and path. Notably, the implementation contains a flaw where the full path concatenates improperly with subsequent entries, potentially impacting operator parsing.

Dateigröße

The filina_for_down command is used to retrieve the byte size of a specified file.

Datei-Upload

The file_upl~ command supports the transfer of files from the C2 to the target host. The command requires specification of both the file path and size, facilitating payload staging or deployment of secondary tools.

Dateiausführung

The this_filina_exec command executes a specified file on the host system. This capability enables the delivery of additional payloads or the execution of existing binaries within the local file system.

Dateidownload

The fil_down_confirmina command enables exfiltration of files from the victim system to the C2 server. Unlike other responses, there is no response header, and only the raw file contents are sent to the C2.

Befehlsausführung

The exec_this_comm command permits arbitrary shell command execution on the infected host. This adds significant flexibility for interactive operations, enabling real-time tasking and on-demand post-exploitation activity.

Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.