Indiska hackare infekterade av misstag sin egen dator med sitt eget virus

Den indiska cyberkriminella gruppen Patchwork (även känd som Dropping Elephant och Chinastrats) infekterade av misstag en av sina datorer med egen skadlig programvara under en av deras skadliga kampanjer. Detta  gjorde det möjligt  för cybersäkerhetsforskare att få insikt i sin verksamhet.

Patchwork har varit aktivt sedan åtminstone 2015 och är känt för att attackera militära och politiska personer runt om i världen, med särskilt fokus på organisationer i Pakistan. I november-december 2021 attackerade gruppen Pakistans försvarsministerium med en utvecklad ny variant av en fjärråtkomsttrojan (RAT) kallad Ragnatela. För att distribuera det använde angriparna nätfiske-e-postmeddelanden med skadliga RTF-filer, som påstås skickas av pakistanska myndigheter.

Väl i systemet tillåter Ragnatela angripare att få fjärråtkomst till enheten, i synnerhet utföra kommandon, lista filer på systemet, lista program som körs, ta skärmdumpar, logga tangenttryckningar.

Under hackningskampanjen kom angriparna framgångsrikt att äventyra data från vissa användare i Pakistans försvarsministerium, men gjorde ett misstag och infekterade även deras datorsystem med den nya RAT, vilket gav cybersäkerhetsexperter möjlighet att övervaka dem genom sin egen programvara.

Det är ironiskt att all information vi har kunnat samla in kommer från det faktum att angriparna infekterade sig själva med denna RAT, vilket resulterade i att deras tangenttryckningar och skärmdumpar från deras egen dator och virtuella maskiner fångades in”,  säger  Malwarebytes Labs.

Gänget använder virtuella maskiner och VPN för att utveckla, driva uppdateringar och kontrollera sina offers system. Patchwork, liksom vissa andra östasiatiska APT:er, är inte lika komplexa som deras ryska och nordkoreanska motsvarigheter, noterade experterna.