ReverseRAT
A ThreatMon indiai kormányzati szerveket célzó adathalász kampányt azonosított, ami a ReverseRAT back door egy frissített változatát alkalmazza a kihasználáshoz.
A kampány mögött valószínűleg a SideCopy, pakisztáni hátterű csoport van, amely kapcsolatba hozható a Transparent Tribe nevű szereplővel is. A ThreatMon által dokumentált fertőzési lánc egy adathalász e-maillel kezdődik, amely egy makró-val ellátott Word-dokumentumot tartalmaz. A fájl az Indiai Kommunikációs Minisztérium egy ajánlásának tűnik, ami egy Android fenyegetésről és annak megelőzéséről szól, de a tartalom egy korábbi valós figyelmeztetésből származik.
A fájl megnyitása és a makrók engedélyezése a rosszindulatú kód futtatását indítja el, amely a ReverseRAT telepítéséhez vezet. Amint a ReverseRAT alkalmazásra kerül, listázza az áldozat eszközét, összegyűjti az adatokat, titkosítja azokat és elküldi a parancs- és vezérlőszervernek.