Executive Summary

Au cours d'une enquête sur une récente campagne TAG-140 visant des organisations gouvernementales indiennes, Insikt Group a identifié une variante modifiée du cheval de Troie d'accès à distance (RAT) DRAT, que nous avons baptisée DRAT V2. TAG-140 présente des similitudes avec SideCopy, un sous-groupe opérationnel considéré comme un sous-cluster ou une filiale opérationnelle de Transparent Tribe (également suivi sous les noms APT36, ProjectM ou MYTHIC LEOPARD). TAG-140 a constamment démontré des progrès itératifs et une grande diversité dans son arsenal de logiciels malveillants et ses techniques de diffusion. Cette dernière campagne, qui a usurpé l'identité du ministère indien de la Défense via un portail de communiqués de presse cloné, marque un changement subtil mais notable dans l'architecture des logiciels malveillants et dans les fonctionnalités de commande et de contrôle (C2).

Le déploiement de DRAT V2 reflète le perfectionnement continu de l'outil d'accès à distance de TAG-140, qui est passé d'une version de DRAT basée sur .NET à une nouvelle variante compilée en Delphi. Ces deux versions font partie des nombreux RAT utilisés par le groupe, tels que CurlBack, SparkRAT, AresRAT, Xeno RAT, AllaKore et ReverseRAT, ce qui indique un modèle d'utilisation rotative des malwares. DRAT V2 met à jour son protocole C2 personnalisé basé sur TCP, initié par le serveur, et étend ses capacités fonctionnelles, y compris l'exécution de commandes shell arbitraires et une interaction améliorée avec le système de fichiers.

L'analyse de la chaîne d'infection indique que l'accès initial a été obtenu grâce à une technique d'ingénierie sociale de type ClickFix. Les victimes ont été incitées à exécuter un script malveillant via mshta.exe. ce qui a conduit à l'exécution du chargeur BroaderAspect .NET, précédemment utilisé par TAG-140. BroaderAspect établit la persistance, puis procède à l'installation et à l'exécution de DRAT V2.

Insikt Group attribue cette activité à TAG-140 avec une confiance modérée basée sur le chevauchement de domaines, la lignée des malwares et les caractéristiques de l'infrastructure. Les améliorations apportées par DRAT V2 suggèrent une augmentation probable de la capacité de TAG-140 à effectuer une post-exploitation sur mesure et à se déplacer latéralement dans les réseaux des victimes. Son émergence est donc un indicateur pertinent de la maturité du métier de l'acteur malveillant et du ciblage stratégique des institutions gouvernementales et de défense de l'Inde.

Key Findings

• DRAT V2 ajoute une nouvelle commande (exec_this_comm) pour l'exécution de commandes shell arbitraires, améliorant ainsi la flexibilité post-exploitation.
• Le malware dissimule ses adresses IP C2 à l'aide d'un codage Base64 avec des chaînes de caractères prédéfinies afin d'empêcher un décodage direct.
• Par rapport à son prédécesseur, DRAT V2 réduit la dissimulation des chaînes de caractères en conservant la plupart des en-têtes de commande en texte clair, privilégiant probablement la fiabilité de l'analyse syntaxique à la furtivité.
• DRAT V2 met à jour son protocole TCP personnalisé initié par le serveur afin de prendre en charge les commandes saisies en ASCII et en Unicode, tout en répondant uniquement en ASCII.
• DRAT V2 ne dispose pas de techniques anti-analyse avancées et s'appuie sur des méthodes d'infection et de persistance de base, ce qui le rend détectable par une analyse statique et comportementale.

Background

TAG-140 est un groupe d'acteurs malveillants qui recoupe le groupe Sidecopy, un groupe de menaces persistantes avancées (APT) soupçonné d'être lié à l'État pakistanais, évalué comme étant un sous-groupe ou une filiale opérationnelle de Transparent Tribe (également suivi sous les noms APT36, ProjectM ou MYTHIC Leopard). Actif depuis au moins 2019, TAG-140 cible principalement des entités indiennes. Ses activités récentes se sont étendues au-delà des secteurs traditionnels du gouvernement, de la défense, du maritime et de l'enseignement supérieur pour inclure désormais des organisations affiliées aux ministères des chemins de fer, du pétrole et du gaz, et des affaires étrangères du pays.

Le groupe a démontré (1, 2, 3) une évolution constante de ses techniques : utilisation de campagnes de spearphishing, utilisation d'applications HTML (HTA) ou de packages Microsoft Installer (MSI) pour la distribution, exploitation de vulnérabilités logicielles (par exemple, WinRAR) et utilisation de nombreux RAT différents tels que CurlBack, SparkRAT, AresRAT, Xeno RAT, AllaKore, ReverseRAT et DRAT. Leurs chaînes d'infection ciblent généralement les environnements Windows et Linux.

Insikt Group a analysé des artefacts provenant d'une récente campagne ClickFix usurpant l'identité du ministère indien, que nous avons attribuée aux acteurs malveillants TAG-140. TAG-140 a créé un site Web contrefait imitant le portail officiel des communiqués de presse du ministère indien de la Défense à l'aide du domaine malveillant email[.]gov[.]in[.]drdosurvey[.]info, qui ressemble fortement au site Web légitime du gouvernement mod[.]gov[.]in. (urlscan.io). Le site web cloné reproduisait la structure et la mise en page du portail authentique, répertoriant les communiqués de presse publiés entre septembre 2023 et avril 2025. Cependant, seul le lien pour mars 2025 était actif.

En cliquant sur le lien actif « Mars 2025 », une attaque d'ingénierie sociale de type ClickFix a été déclenchée. Insikt Group a mené une analyse supplémentaire de la chaîne d'infection TAG-140 Windows et a déterminé qu'elle était similaire à une chaîne d'infection signalée par Seqrite Labs dans ses recherches sur l'activité TAG-140, identifiée fin 2024. Notre analyse de la chaîne d'infection (figure 2) révèle que la charge utile finale est une nouvelle variante de DRAT basée sur Delphi (appelée DRAT V2). Auparavant, DRAT était développé en .NET et a été attribué pour la première fois à l'activité SideCopy en 2023. La variante mise à jour comprend de nouvelles fonctionnalités de commande et un protocole C2 légèrement modifié.

1. L'utilisateur est redirigé vers l'URL ci-dessous (urlscan.io). Bien que nous ne connaissions pas le mécanisme de diffusion utilisé, d'après les tactiques, techniques et procédures (TTP) de TAG-140, il s'agit probablement d'un e-mail de spearphishing incitant l'utilisateur à cliquer sur le lien. L'utilisateur est ensuite invité à cliquer sur le lien « Sortie en mars 2025 ». À partir d'un ordinateur Windows, cliquer sur ce lien redirige l'utilisateur vers l'identifiant de ressource uniforme (URI) /captcha/windows.php.

2. Le site web redirigé (urlscan.io) affiche l'avertissement « **Divulgation - À usage officiel uniquement (FOUO)** » et invite l'utilisateur à cliquer sur « Continuer ».

3. En cliquant sur « Continuer », vous exécutez un script JavaScript qui copie la commande malveillante ci-dessous dans le presse-papiers et invite l'utilisateur à la coller et à l'exécuter dans un interpréteur de commandes. La commande utilise mshta.exe pour récupérer et exécuter un script distant (index.php/sysinte.hta). à partir de l'infrastructure de TAG-140, _trade4wealth[.]in_.

4. L'exécution de index.php/sysinte.hta crée et exécute le chargeur BroaderAspect, signalé pour la première fois par Seqrite Labs. BroaderAspect effectue les actions suivantes :

a. Téléchargez et ouvrez le document leurre survey.pdf à partir de l'URL suivante :

b. Crée et exécute un fichier batch Windows nommé noway.bat, qui contient une commande permettant d'établir la persistance de DRAT v2 en ajoutant une entrée de registre à un emplacement de démarrage automatique défini par Microsoft.

c. Télécharge et décompresse la charge utile DRAT V2 à partir des URL suivantes :

d. Exécutez DRAT V2 à l'aide de la commande suivante :

Insikt Group attribue cette activité à TAG-140 avec un niveau de confiance modéré sur la base des aspects suivants :

1. L'usurpation d'identité et le ciblage d'organisations de défense indiennes, telles que le ministère indien de la Défense, correspondent aux cibles connues du programme TAG-140.
2. L'utilisation du chargeur BroaderAspect et du DRAT (dans l'une ou l'autre de ses variantes), qui semblent être exclusivement utilisés par TAG-140 (1, 2), correspond aux TTP de TAG-140.
3. Le domaine email[.]gov[.]in[.]drdosurvey[.]info recoupe d'autres attaques APT36 (1, 2) et utilise Namecheap comme hébergeur. Nous avons observé à plusieurs reprises que TAG-140 utilise couramment Namecheap, ainsi que GoDaddy et Hostinger (1, 2, 3, 4).
4. En plus de DRAT V2, TAG-140 a précédemment utilisé des malwares basés sur Delphi, tels que le RAT AllaKore open source.

Analyse technique

DRAT V2 est un RAT léger développé en Delphi et représente une évolution de la variante antérieure basée sur .NET, attribuée pour la première fois à TAG-140 en 2023. DRAT V2 introduit plusieurs mises à jour par rapport à son prédécesseur, y compris :

• Une mise à jour de son protocole C2 personnalisé initié par le serveur TCP
• Dissimulation Base64 améliorée de l'infrastructure C2 avec l'ajout de chaînes de caractères prédéfinies
• Mise à jour des en-têtes de commande et ajout d'une nouvelle commande pour l'exécution de commandes Windows arbitraires

La Figure 3 donne un aperçu général de DRAT V2.

DRAT V2 prend en charge un ensemble de commandes permettant aux opérateurs du TAG-140 d'effectuer un large éventail d'interactions avec des hôtes compromis. Une fois la communication établie, le malware attend passivement les instructions du serveur C2. Les opérations prises en charge comprennent la reconnaissance du système, comme la collecte du nom d'utilisateur, de la version du système d'exploitation, de l'heure du système et du répertoire de travail actuel, ainsi que la validation de la connectivité et l'énumération des systèmes de fichiers et des répertoires locaux.

Au-delà de la reconnaissance, DRAT V2 facilite un engagement plus actif avec l'environnement cible. Il permet des transferts de fichiers dans les deux sens entre l'hôte et l'infrastructure C2, ce qui permet aux opérateurs de télécharger des charges utiles supplémentaires ou d'exfiltrer des données. En outre, il prend en charge l'exécution de fichiers locaux et de commandes arbitraires de l'interpréteur de commandes Windows, en renvoyant la sortie au C2. Ces fonctions permettent à TAG-140 d'exercer un contrôle persistant et flexible sur le système infecté et de mener des activités de post-exploitation automatisées et interactives sans nécessiter le déploiement d'outils auxiliaires de malwares. Figure 4 fournit un résumé des capacités de DRAT V2.

Commandes DRAT V2

DRAT V2 continue d'utiliser une interface de commande qui utilise un protocole TCP personnalisé, basé sur du texte et initié par le serveur, pour prendre en charge les capacités de contrôle à distance sur un hôte compromis. L'exécution de commandes, la manipulation de fichiers et la reconnaissance du système sont possibles grâce à un format structuré.

Le protocole de commande DRAT V2 se distingue par l'utilisation des caractères tilde (~) et barre verticale (|) comme délimiteurs. Après avoir établi la connectivité avec son infrastructure C2, le malware passe à l'état passif et attend les instructions du serveur. Ces instructions couvrent neuf types de commandes distinctes(tableau 1), englobant des capacités telles que la reconnaissance de l'hôte, la gestion des fichiers et l'exécution directe. Chaque commande suit un format déterministe, permettant à l'opérateur d'orchestrer les actions post-compromission de manière cohérente et avec une faible surcharge.

Table 1: Commandes DRAT V2 (Source : Recorded Future)

Ce jeu de commandes permet au TAG-140 de répondre à une série d'objectifs post-exploitation, notamment la reconnaissance de l'hôte, le stockage des données et les éventuels mouvements latéraux. En particulier, DRAT V2 étend la fonctionnalité de son prédécesseur en incorporant la prise en charge de l'exécution de commandes arbitraires. L'annexe B fournit une description détaillée de chaque commande, y compris les paramètres.

La figure 5 illustre un exemple de communication C2 entre un hôte infecté et le C2. Dans cet exemple, le serveur C2 envoie la commande « exec_this_comm~whoami », qui indique à l'hôte infecté d'exécuter la commande « whoami ». L'hôte infecté répond alors avec le résultat de la commande.

DRAT vs DRAT V2

Cette analyse comparative met en évidence les différences techniques et opérationnelles entre le DRAT original et le DRAT V2. Le changement de plateforme de développement marque une transition architecturale importante qui affecte la façon dont les malwares sont compilés, exécutés et potentiellement détectés. Bien que les deux variantes conservent des fonctionnalités de base similaires à celles des RAT légers, DRAT V2 apporte des améliorations significatives à sa structure de commande, à ses techniques de dissimulation C2 et à son protocole de communication, tout en minimisant l'utilisation de la dissimulation des chaînes. Ces adaptations reflètent probablement les efforts continus du TAG-140 pour faire évoluer son outillage afin d'améliorer l'évasion, la modularité et la flexibilité des opérations de post-exploitation.

Variation de l'en-tête de commande

Bien que les deux variantes de DRAT implémentent des commandes similaires pour l'administration à distance, chaque version utilise des conventions de nommage distinctes pour les en-têtes de commande. Par exemple, la commande d'informations système de DRAT est intitulée getInformitica, tandis que DRAT V2 utilise initial_infotonas. DRAT V2 a également introduit une nouvelle commande, exec_this_comm, qui permet l'exécution de commandes shell arbitraires sur l'hôte infecté, une amélioration qui n'était pas présente dans la version originale de DRAT et qui témoigne de capacités post-exploitation étendues. Le tableau comparatif ci-dessous (tableau 2) présente une ventilation détaillée, ligne par ligne, des en-têtes de requête et de réponse dans les deux versions. Dans ce tableau, les correspondances de commandes surlignées en vert indiquent les commandes qui sont conservées dans les deux variantes, tandis que les éléments surlignés en jaune représentent les nouveaux ajouts exclusifs à DRAT V2.

Table 2: Comparaison des commandes entre DRAT et DRAT V2 (Source : Recorded Future)

Format du texte dans les communications C2

Les deux versions exploitent des protocoles de communication textuels pour les interactions C2. Cependant, leurs exigences d'encodage diffèrent : le DRAT V2 accepte les commandes en Unicode et en ASCII, mais répond toujours en ASCII, alors que le DRAT d'origine impose l'Unicode en entrée et en sortie (Figure 6).

Différences entre les informations du système

La réponse du système d'information des deux versions présente de nombreuses similitudes, mais plusieurs différences incluent le texte en Unicode, des en-têtes de requête de commande différentes et WinDefender au lieu de win-def, tous deux codés en dur. Enfin, le format de la version Windows dans la réponse des informations système varie entre DRAT et DRATV2. DRAT renvoie simplement la valeur de la clé de registre Software\Microsoft\Windows NT\CurrentVersion\ProductName, tandis que DRAT V2 récupère la version de Windows à l'aide de l'appel API GetVersionExW() et renvoie une chaîne personnalisée encodée en Base64 dans le code source. Le tableau 3 présente les différences entre les deux commandes.

Table 3: Champs de demande et de réponse d'informations système DRAT vs DRAT V2 (Source : Recorded Future)

Différences dans l'obfuscation C2

Dans les deux variantes de DRAT, les informations C2 sont encodées en Base64. DRAT encode directement l'adresse IP C2, tandis que DRAT V2 modifie son approche de l'obscurcissement C2 en ajoutant l'une des chaînes suivantes à l'adresse IP avant l'encodage en Base64 :

• <><><><><><><><><><><>
• XXXXXXXXXXXXXXXXXXXXXX

Ces motifs ajoutés servent probablement de contrôles d'intégrité rudimentaires ou permettent d'éviter un décodage trivial par les analystes et les outils automatisés.

Dissimulation de chaîne

Les stratégies de dissimulation des chaînes diffèrent également entre les variantes. DRAT utilise un schéma plus étendu, employant un algorithme de substitution pour encoder à la fois les commandes et les chaînes opérationnelles. DRAT V2, quant à lui, dissimule sélectivement les chaînes, telles que la version de Windows et les informations C2, mais laisse les en-têtes de commande en clair. Cette approche de dissimulation limitée dans DRAT V2 pourrait représenter un compromis entre la furtivité et la fiabilité de l'analyse.

Détections

Mitigations

• Bloquez ou surveillez les connexions TCP sortantes vers des ports de destination peu courants utilisés par DRAT V2 pour les opérations C2, tels que 3232, 6372 et 7771. Surveillez le trafic TCP anormal qui ne correspond pas aux protocoles connus ciblant les ports à numérotation élevée.
• Inspectez le trafic réseau à la recherche de réponses de commandes sortantes et d'instructions de commandes shell entrantes(annexe B) encodées aux formats Base64, ASCII ou Unicode. Mettez l'accent sur le décodage et l'inspection du trafic, en particulier sur les sessions TCP établies sur des ports inhabituels.
• Utilisez les règles de détection de ce rapport pour identifier l'exécution et la persistance de DRAT V2 via des clés d'exécution de registre, des chargeurs basés sur des fichiers et des modèles C2 codés. Déployez des règles YARA personnalisées pour détecter les échantillons DRAT compilés en .NET et en Delphi.
• Déployez une logique de détection pour surveiller les éléments qui invoquent des scripts à distance ou lancent des charges utiles secondaires. Il s'agit d'un élément clé de la chaîne d'infection, où des scripts HTA malveillants récupèrent et lancent des chargeurs DRAT tels que BroaderAspect.
• Surveillez les événements de modification du registre, en particulier ceux impliquant HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. TAG-140 utilise ces fichiers pour persister en exécutant DRAT V2 via des noms de fichiers dissimulés dans C:\Users\Public</span>.

Outlook

Le déploiement de DRAT V2 par TAG-140 est conforme à la pratique de longue date du groupe consistant à maintenir une suite étendue et interchangeable de chevaux de Troie d'accès à distance. Cette diversification continue complique les activités d'attribution, de détection et de surveillance. DRAT V2 semble être un autre ajout modulaire plutôt qu'une évolution définitive, renforçant la probabilité que TAG-140 continue de faire tourner les RAT d'une campagne à l'autre pour masquer les signatures et maintenir la flexibilité opérationnelle.

Malgré ces difficultés, la chaîne d'infection DRAT V2 utilise peu de techniques d'évasion défensive ou d'anti-analyse. L'absence de dissimulation du code, de contournement du bac à sable ou de comportements complexes du chargeur augmente la possibilité d'une détection précoce grâce à la télémétrie de base et à l'analyse statique. Les équipes de sécurité devraient s'attendre à poursuivre leurs expériences en matière d'outils de malware et de chaînes d'infection. La surveillance de l'infrastructure de spearphishing, de la réutilisation des chargeurs et des indicateurs comportementaux, plutôt que des familles de malwares spécifiques, sera essentielle pour maintenir la visibilité de l'activité du TAG-140.

Annexe A : Indicateurs de compromission

Annexe B : paramètres de commande et réponse du DRAT V2

Informations système

La commande initial_infotonas lance une reconnaissance au niveau du système en demandant des informations sur l'environnement hôte, notamment le nom d'utilisateur, la version du système d'exploitation, l'horodatage et le répertoire de travail. La réponse est structurée en sept champs.

Test d'écho/de connectivité

La commande sup est utilisée pour vérifier la communication active avec l'hôte compromis.

Lister les volumes

La commande lst_of_sys_drvs permet à DRAT V2 d'énumérer les lecteurs logiques accessibles sur la machine cible.

Liste des répertoires avec attributs

La commande here_are_dir_details récupère les métadonnées structurées des répertoires et des fichiers, notamment le nom, la taille, l'horodatage et le chemin d'accès. Il convient de noter que la mise en œuvre comporte une faille où le chemin complet s'enchaîne de manière incorrecte avec les entrées suivantes, ce qui peut avoir un impact sur l'analyse syntaxique de l'opérateur.

Taille du fichier

La commande filina_for_down permet de récupérer la taille en octets d'un fichier spécifié.

Chargement de fichiers

La commande file_upl~ permet de transférer des fichiers du C2 vers l'hôte cible. La commande nécessite la spécification du chemin d'accès au fichier et de sa taille, ce qui facilite la mise en place de la charge utile ou le déploiement d'outils secondaires.

Exécution de fichier

La commande this_filina_exec exécute un fichier spécifié sur le système hôte. Cette fonctionnalité permet la livraison de charges utiles supplémentaires ou l'exécution de fichiers binaires existants dans le système de fichiers local.

Téléchargement de fichier

La commande fil_down_confirmina permet l'exfiltration de fichiers du système de la victime vers le serveur C2. Contrairement aux autres réponses, il n'y a pas d'en-tête de réponse, et seul le contenu brut du fichier est envoyé au C2.

Exécution de commande

La commande exec_this_comm permet l'exécution de commandes shell arbitraires sur l'hôte infecté. Cela ajoute une flexibilité considérable aux opérations interactives, permettant l'attribution de tâches en temps réel et des activités post-exploitation à la demande.

To read the entire analysis, click here to download the report as a PDF.