APT-атаки на индийское правительство с использованием SHEETCREEP, FIREPOWER и MAILCREEP | Часть 2

Кампания Sheet Attack представляет собой вредоносную операцию, использующую Google Sheets в качестве канала управления и контроля, что является нетипичной тактикой для данного региона. В сентябре 2025 года Zscaler ThreatLabz обнаружил три дополнительных бэкдора, SHEETCREEP, FIREPOWER и MAILCREEP, используемых для поддержки кампании Sheet Attack. Кампания выделяется использованием легитимных облачных сервисов, таких как Google и Microsoft, для маскировки и обхода средств безопасности. Бэкдоры используются для развертывания легковесного вредоносного ПО, способного извлекать файлы и манипулировать электронной почтой. ThreatLabz выявил несколько высокодостоверных отпечатков в вредоносном ПО, которые убедительно свидетельствуют об использовании генеративного ИИ в процессе разработки. Предполагается, что кампания Sheet Attack возникла из новой подгруппы или параллельной группы, связанной с Пакистаном, несмотря на сходство с группой угроз APT36. Кампания активна с ноября 2025 года и представила новые бэкдоры, написанные на различных языках программирования. Злоумышленники также развернули дополнительные полезные нагрузки, включая похититель документов на основе PowerShell и MAILCREEP, бэкдор, разработанный на Golang. Использование генеративного ИИ в разработке вредоносного ПО является растущей тенденцией, и кампания Sheet Attack является одним из примеров этой тенденции. Тактики и методы кампании со временем эволюционировали: злоумышленники перешли от использования PDF-файлов к вредоносным LNK-файлам в качестве первоначального вектора заражения.