Breves interrupções, afirmações ousadas: a realidade tática por trás da onda hacktivista na Índia e no Paquistão

Sumário executivo

Campanhas hacktivistas recentes contra a infraestrutura digital indiana geraram manchetes alarmantes, mas a investigação revela que a maioria das alegações é significativamente exagerada. Apesar de os principais grupos hacktivistas alegarem coletivamente mais de 100 violações bem-sucedidas de sites governamentais, instituições educacionais e infraestrutura crítica em maio de 2025, a análise mostra um impacto real mínimo, com supostos vazamentos de dados contendo principalmente informações públicas, desfigurações de sites sem deixar rastros digitais e supostos ataques de DDoS contra alvos importantes, como o Gabinete do Primeiro Ministro, causando interrupções insignificantes. Enquanto isso, o grupo de espionagem APT36, mais sofisticado, continua representando uma ameaça genuína por meio de campanhas direcionadas de malware Crimson RAT, explorando o ataque terrorista Pahalgam de abril de 2025 para se infiltrar nas redes governamentais e de defesa.

Os 5 principais grupos hacktivistas

1. Nação dos Salvadores [Discussão]: 32 ataques reivindicados
   
   • Esse grupo lança uma ampla rede, reivindicando a responsabilidade por interrupções e ataques contra vários portais do governo indiano (incluindo níveis central e estadual), instituições financeiras e órgãos educacionais.
   • Entre suas reivindicações de alto perfil estavam supostos ataques contra o CBI, a Comissão Eleitoral da Índia (ECI) e o Portal Nacional da Índia.
2. OVO DE COUVE 319: 31 ataques reivindicados
   
   • O grupo concentrou seus esforços predominantemente nos setores educacional e médico da Índia.
   • O KAL EGY 319 alegou uma ampla campanha de desfiguração, alegando que aproximadamente 40 sites indianos, pertencentes principalmente a faculdades, universidades e instituições afiliadas à saúde, foram comprometidos.
3. SYLHET GANG-SG 🏴: 19 ataques reivindicados
   
   • Essa entidade tinha como alvo uma mistura de portais do governo indiano, instituições educacionais e meios de comunicação.
   • Reclamações significativas incluíram uma alegada violação de dados do sistema do Supremo Tribunal de Andhra Pradesh e do Centro Nacional de Informática (NIC).
4. Lc Ləng Đc Biệt Quân Đội Điện T( Forças Especiais do Exército Eletrônico) e Afiliados: 18 ataques reivindicados
   
   • Esse coletivo se concentrou fortemente nos tribunais indianos, em vários sites do governo central e estadual e nos serviços públicos digitais.
   • Sites judiciais, incluindo tribunais distritais e superiores, junto com portais policiais, apareceram com destaque em sua lista de alvos reivindicados.
5. Abutre: 16 ataques reivindicados
   
   • Sites do governo indiano e instituições educacionais foram o foco principal das atividades reivindicadas desse grupo.
   • As reivindicações incluíram ataques ao portal da Polícia Digital, ao site oficial do Presidente da Índia e ao site do Gabinete do Primeiro Ministro (PMO). O Vulture foi frequentemente mencionado em reivindicações de operações conjuntas, indicando colaboração com outras entidades hacktivistas.

Nota: Muitos grupos de hacktivistas usam ferramentas com impacto limitado, muitas vezes causando breves interrupções de 5 a 10 minutos e exagerando-as com capturas de tela. Essas táticas não evoluíram em mais de dois anos. Embora o monitoramento seja importante, a higiene básica contra DDoS geralmente é suficiente para mitigar essas ameaças de baixo nível e minimizar sua visibilidade.

‍

Indústrias mais segmentadas

Entidades governamentais na Índia foram os principais alvos de ataques cibernéticos, com violações de alto perfil relatadas em portais do governo central, como o Ministério da Defesa, o Ministério das Relações Exteriores e a Comissão Eleitoral. Serviços públicos digitais como UMANG, Polícia Digital e Centro Nacional de Informática, bem como sites administrativos, incluindo os do Presidente e do Primeiro Ministro, também foram atingidos. O sistema judicial, incluindo vários tribunais superiores, enfrentou interrupções. O setor educacional foi notavelmente afetado, com ataques a universidades, instituições médicas e agências de testes. A infraestrutura crítica também foi alvo, incluindo sistemas de transporte como a Indian Railways, redes de comunicação como a India Post e a RailTel e instituições financeiras como o Punjab National Bank e o Indian Overseas Bank.

‍

Expondo falsas alegações: a realidade por trás das recentes alegações hacktivistas

1. Discrepância significativa na alegada violação do National Informatics Center (NIC)

Várias entidades hacktivistas, incluindo SYLHET GANG-SG e DieNet, reivindicaram com destaque a exfiltração de mais de 247 GB de dados dos servidores do Centro Nacional de Informática (NIC) da Índia — uma violação potencialmente devastadora, dado o papel do NIC na infraestrutura de TI do governo. No entanto, uma análise subsequente de uma amostra de 1,5 GB divulgada pelos grupos como “prova” revelou que ela consistia em materiais de marketing e arquivos de mídia disponíveis ao público, sugerindo que o alegado comprometimento de 247 GB de dados governamentais críticos é amplamente infundado pelas evidências fornecidas.

‍

‍

2. Hacktivistas reempacotam o vazamento histórico de dados da ECI como um novo ataque

Uma reclamação feita em 8 de maio de 2025 pela Team Azrael--Angel Of Death® sobre uma suposta violação da Comissão Eleitoral da Índia, supostamente gerando mais de 1 milhão de registros de cidadãos, exemplifica uma tática hacktivista comum: o reempacotamento de dados divulgados anteriormente para criar a ilusão de um compromisso recente e de alto impacto. Ao verificar os dados, confirme se os dados associados a essa afirmação, embora contenham PII genuínas, como nomes, idades, números de telefone e endereços, vazaram originalmente em 2023. Assim, o anúncio de maio de 2025 não representa uma nova violação do ECI por esse grupo, mas sim um esforço para gerar alarme e publicidade usando dados antigos sobre as instituições democráticas sensíveis da Índia.

‍

3. Campanha de desfiguração em massa KAL EGY 319

O grupo hacktivista KAL EGY 319 reivindicou uma operação de desfiguração em grande escala entre 8 e 9 de maio de 2025, supostamente afetando cerca de 40 sites educacionais e médicos indianos e, posteriormente, anunciou um pivô estratégico para novos alvos. Apesar dessas afirmações, o impacto real parece mínimo. A investigação revelou que todos os sites nomeados estão funcionando normalmente. Isso sugere que as desfigurações não foram totalmente executadas conforme alegado ou não resultaram em nenhum comprometimento significativo ou completo dos ativos on-line visados.

‍

4. Reclamações coordenadas de DDoS contra os principais sites do governo indiano resultam em interrupções mínimas

Entre 7 e 8 de maio de 2025, uma coalizão de grupos hacktivistas, incluindo Ləc Ləng Đəc Biệt Quân Đội Điện T, Vulture e GARUDA ERROR SYSTEM, anunciou ataques distribuídos de negação de serviço (DDoS) contra sites de alto perfil do governo indiano. As entidades alvo supostamente incluíram o Gabinete do Primeiro Ministro (PMO), o Gabinete do Presidente e vários ministérios importantes (Interior, Defesa, Relações Exteriores, Saúde), além de portais policiais. Embora os grupos tenham elogiado isso como uma operação bem organizada, a análise de verificação indica que os sites em questão estão operando normalmente. Qualquer tempo de inatividade experimentado parece ter sido insignificante, potencialmente durando menos de cinco minutos, sugerindo que os ataques não tiveram impacto significativo ou sustentado na disponibilidade desses serviços governamentais essenciais.

‍

5. Dados públicos e alguns hashes vazaram

A alegação hacktivista de SYLHET GANG-SG (atribuída ao Team Insane Pakistan), em 7 de maio de 2025, de acessar 1 milhão de detalhes do caso e registros da FIR do banco de dados do Supremo Tribunal de Andhra Pradesh exagerou significativamente a sensibilidade das informações obtidas. A análise revela que os dados consistem principalmente em metadados de casos acessíveis ao público. Embora essas informações não sejam inerentemente críticas, o vazamento também expôs alguns hashes de senha, o que representa um risco de segurança definitivo para os sistemas do tribunal e para as contas potencialmente vinculadas. No entanto, a narrativa de uma violação massiva de registros judiciais privados não é comprovada pela natureza dos dados divulgados.

‍

‍

6. O vazamento de dados do exército indiano carece de corroboração autêntica

Em 7 de maio de 2025, a Equipe Azrael--Angel Of Death® fez uma séria alegação de comprometer e vazar dados relativos ao pessoal do Exército Indiano, incluindo supostos agentes da RAW/CBI. Essa violação, se genuína, significaria um grande golpe de inteligência. No entanto, a validação completa dos dados apresentados pelo grupo não revela nenhuma ligação perceptível com o pessoal real do Exército Indiano. O conjunto de dados é caracterizado por inconsistências significativas, incluindo incompatibilidades entre nomes, endereços de e-mail e números de telefone. Há grande confiança de que os dados foram fabricados ou totalmente atribuídos erroneamente e não representam um comprometimento legítimo dos alvos de alta sensibilidade reivindicados.

‍

7. Alegações de DDoS contra a CERT-IN e a National Testing Agency

Também em 8 de maio de 2025, os grupos hacktivistas Vulture e as Forças Especiais do Exército Eletrônico assumiram a responsabilidade por ataques de DDoS direcionados especificamente à Equipe de Resposta a Emergências de Computadores (CERt-in) da Índia e à Agência Nacional de Testes (NTA). O momento do suposto ataque ao NTA foi considerado potencialmente perturbador devido aos períodos de exame crítico em andamento. Essas entidades representam organizações-chave na infraestrutura educacional e de defesa cibernética da Índia. No entanto, apesar da natureza estratégica desses alvos reivindicados, a validação confirmou que os sites da CERt-in e da NTA estavam e permaneceram em funcionamento sem qualquer interrupção ou degradação observável do serviço consistente com um ataque DDoS bem-sucedido. As alegações de impactar essas organizações críticas parecem infundadas com base em sua continuidade operacional.

Contas X (Twitter) vinculadas ao Paquistão amplificam reivindicações cibernéticas não verificadas

P @kistanCyberForce é uma conta de mídia social associada a um autoproclamado grupo hacktivista paquistanês que faz alegações não verificadas de violação de entidades indianas, como o Instituto Manohar Parrikar de Estudos e Análises de Defesa (idsa.in), a Armored Vehicles Nigam Limited (avnl.co.in) e o portal de saúde ECHS (echs-pcmdb.sourceinfosys.com).

‍

CyberLegends X (@cyber4982), uma conta de mídia social, tem emitido alertas alegando que a Força Cibernética do Paquistão é responsável por recentes ataques cibernéticos contra entidades indianas. Os alvos relatados incluem uma plataforma de rastreamento de veículos (Trackmaster.in/FMSattachments/) e a da Bharti Airtel Ltd. Essas ações estão sendo retratadas como parte de um conflito cibernético contínuo entre Índia e Paquistão e uma medida retaliatória em resposta à Operação Sindoor. O ataque à Airtel explorou especificamente um serviço BIG-IP, enquanto a violação do trackmaster.in foi realizada por meio de uma vulnerabilidade conhecida, permitindo que o atacante obtivesse acesso e fizesse upload de uma imagem.

Contas de mídia social Taymiyyah Umer 🦋 (@MAkhtar508), @Mubashirbilal00, e mirhakhan_99 estão compartilhando reivindicações não verificadas supostamente vinculadas à PAFCyberforce sob a bandeira da OPERAÇÃO BUNYAN AL MARSOUS. Essas postagens sugerem que agentes cibernéticos paquistaneses se infiltraram em vários segmentos da infraestrutura digital indiana, incluindo sistemas civis, hospitais e sites confidenciais, conduzindo vigilância e manipulando feeds de segurança. As alegações enfatizam que nenhuma interrupção visível foi causada, retratando a operação como uma demonstração calculada de capacidades avançadas e restrição estratégica. Várias dezenas de contas estão fazendo o mesmo

@Amad__khan, que se identifica como um hacker ético e programador paquistanês associado à CyberSec Revolution, assumiu publicamente a responsabilidade por uma série de intrusões cibernéticas contra a infraestrutura digital indiana. De acordo com suas declarações, os alvos incluíam o Instituto Criativo Indiano, o site Kavanal, vários outros sites indianos, sistemas de CFTV, roteadores, a Comissão de Seleção de Pessoal (SSC) e os dados de seus candidatos, o Ministério das Relações Exteriores, o sistema de certificados de autorização da Polícia de Delhi e o Ministério da Habitação e Assuntos Urbanos. Suas postagens, que frequentemente apresentam retórica pró-Paquistão e referências ao conflito cibernético entre a Índia e o Paquistão, refletem uma narrativa anti-Índia persistente. Ele afirma realizar esses ataques explorando vulnerabilidades do servidor ou usando credenciais comprometidas.

Por dentro do Crimson RAT do APT36: a mecânica de uma sofisticada ferramenta de espionagem cibernética

O Crimson RAT é um Trojan de acesso remoto baseado em.NET que há muito tempo serve como uma ferramenta chave de espionagem para o Apt36, também conhecido como Earth Karkaddan, Transparent Tribe e vários outros aliases. Esse grupo de ameaças com motivação política, que se acredita estar ligado ao Paquistão, tem um histórico de ataques a instituições militares, diplomáticas e educacionais indianas. Projetado para ser furtivo e persistente, o Crimson RAT permite que os invasores executem comandos remotamente, extraiam dados confidenciais e mantenham acesso contínuo aos sistemas comprometidos. Em maio de 2025, relatórios revelaram que o APT36 aproveitou esse malware para explorar as consequências emocionais do ataque terrorista de Pahalgam de abril de 2025, usando-o como uma isca temática para violar o governo indiano e as redes de defesa por meio de táticas de phishing e engenharia social.

Como o Crimson RAT é entregue?

O APT36 emprega uma abordagem multifacetada para fornecer o Crimson RAT, aproveitando técnicas de engenharia social e phishing para explorar vulnerabilidades humanas. A campanha, lançada 48 horas após o ataque terrorista de Pahalgam em 22 de abril de 2025, usa temas carregados de emoção para maximizar seu impacto. Veja como a cadeia de ataque se desenrola:

E-mails de phishing com anexos maliciosos

A campanha começa com e-mails de phishing que parecem vir de fontes confiáveis, como funcionários ou organizações governamentais. Esses e-mails geralmente incluem anexos criados para parecerem documentos oficiais. Dois métodos de entrega primários foram observados:

• Arquivos do PowerPoint: Os e-mails contêm arquivos complementares do PowerPoint (formato.ppam) disfarçados de relatórios oficiais, como “Relatório e atualização sobre o ataque terrorista de Pahalgam.ppam”. Esses arquivos contêm macros maliciosas que, quando ativadas pelo usuário, iniciam o processo de download do malware.
• Documentos em PDF: PDFs, como “Pontos de ação e resposta do governo sobre o terror de Pahalgam Attack.pdf”, criados em 24 de abril de 2025, sob o pseudônimo “Kalu Badshah”, incorporam links maliciosos. Esses links redirecionam os usuários para páginas de login falsas hospedadas em domínios falsificados, como jkpolice.gov.in.kashmirattack.exposed, que imita o site oficial da Polícia de Jammu e Caxemira. Essas páginas foram criadas para roubar credenciais.

Carga útil de malware disfarçada

As macros maliciosas no arquivo do PowerPoint baixam o Crimson RAT, que é habilmente disfarçado como um arquivo de imagem, como o WEISTT.jpg. Esse disfarce ajuda a evitar a detecção inicial pelo software de segurança. Depois de baixado, o arquivo de imagem inicia um executável, como jnmxrvt hcsm.exe, que é a carga útil real do Crimson RAT. Esse executável inicia o processo de infecção, permitindo que o malware se apodere do sistema da vítima.

Domínios e infraestrutura falsificados

O APT36 criou uma rede de domínios falsificados para apoiar a campanha, incluindo:

• iaf.nic.in.ministyofdefenceindia.org
• email.gov.in.departmentofdefence.de
• indianarmy.nic.in.departmentofdefence.de

Esses domínios, criados já em 16 de abril de 2025, são hospedados por provedores como Alexhost Srl, IP Connect Inc e Shinjiru Technology. A infraestrutura facilita a entrega de credenciais de phishing e malware, tornando-a um componente essencial da cadeia de ataques.

‍

Como o Crimson RAT é executado?

Depois que o Crimson RAT é executado no sistema da vítima, ele segue um processo estruturado para estabelecer comunicação com seu servidor de comando e controle e iniciar suas atividades de espionagem. O processo de execução é ao mesmo tempo furtivo e eficiente, permitindo que os invasores mantenham acesso de longo prazo aos sistemas comprometidos.

Execução inicial

A carga útil do malware, disfarçada como um arquivo de imagem (por exemplo, WEISTT.jpg), é executada quando o usuário interage com o anexo malicioso, normalmente ativando macros no arquivo do PowerPoint. O executável (por exemplo, jnmxrvt hcsm.exe) é iniciado, iniciando o processo de infecção.

Conexão de comando e controle (C2)

O Crimson RAT se conecta ao seu servidor C2 codificado, identificado como 93.127.133.58 (porta 1097). Ao estabelecer a conexão, o malware envia as informações iniciais sobre o sistema da vítima de volta ao servidor C2, incluindo:

• Uma lista de processos em execução e seus IDs
• O nome do host da máquina
• O nome de usuário

Essas informações ajudam os invasores a avaliar o valor do sistema comprometido e a adaptar suas ações subsequentes.

Capacidades de malware

O Crimson RAT suporta mais de 20 tarefas C2, tornando-o uma ferramenta altamente versátil para atacantes. Alguns de seus principais recursos incluem:

• Captura de tela: Comandos como cscreen, screen e thumb permitem que o malware capture e extraia capturas de tela da vítima, fornecendo informações visuais sobre as atividades do usuário.
• Acesso e downloads de arquivos: comandos como filsz, listf e fldr permitem que o malware liste, acesse e baixe arquivos do sistema infectado, visando documentos confidenciais.
• Persistência do sistema: O comando putsrt garante que o malware permaneça ativo no sistema mesmo após a reinicialização, permitindo acesso de longo prazo.
• Execução remota de comandos: Comandos como runf, dowr e udlt permitem que os invasores executem comandos arbitrários, baixem cargas adicionais ou excluam arquivos no sistema da vítima.

O malware suporta um total de 22 comandos, o que o torna uma ferramenta robusta para espionagem.

Exfiltração de dados

Depois que o malware coleta dados confidenciais, como capturas de tela, arquivos ou informações do sistema, ele envia esses dados de volta ao servidor C2 para análise posterior pelos atacantes. Esse processo foi projetado para ser discreto, minimizando as chances de detecção pelo software de segurança.

APT 36 HTTPS:

‍

‍

O CrimsonRAT tem sido usado pelo APT36 por aproximadamente 6 anos sem muita alteração nos TTPs e no tipo de campanhas. Isso representa uma ameaça limitada para organizações com políticas de segurança maduras, pois as vítimas pretendidas desse ataque são cidadãos/terminais governamentais comuns.

Referências

• *Fonte de inteligência e confiabilidade da informação - Wikipedia
• ^#Protocolo de semáforo - Wikipedia
• https://www.cloudsek.com/whitepapers-reports/hacktivist-warfare-assessing-the-strategies-and-tools-of-cyber-hacktivists

‍

‍