Хакерське угруповання SideWinder розгорнуло нову хвилю цілеспрямованих фішингових атак на дипломатичні представництва в Індії, Шрі-Ланці, Пакистані та Бангладеші, використовуючи PDF-файли та ClickOnce-застосунки для доставки шкідливого ПЗ StealerBot і ModuleInstaller. Ця кампанія демонструє суттєву еволюцію їхніх методів і вказує на зростаючий рівень складності державного кібершпигунства в регіоні.
Фахівці Trellix зафіксували чотири хвилі фішингових розсилок між березнем і вереснем 2025 року. Листи, нібито від Міністерства оборони Пакистану, містили файли з назвами на кшталт *“Inter-ministerial meeting Credentials.pdf”* або *“India-Pakistan Conflict – Strategic and Tactical Analysis of the May 2025.docx”*.
Основна мета – інфікувати комп’ютери дипломатів і співробітників урядових структур у Південній Азії.
При відкритті PDF-жертві пропонували “оновити Adobe Reader”. Ця дія завантажувала ClickOnce-додаток із віддаленого сервера mofa-gov-bd.filenest[.]live, який містив легітимний файл ReaderConfiguration.exe (підписаний компанією MagTek Inc.) — але з підвантаженим шкідливим DLL DEVOBJ.dll. Після запуску система заражалася через ModuleInstaller, який завантажував основний шпигунський модуль StealerBot.
StealerBot — це .NET-зразок, який:
творює реверс-шел,
краде паролі, файли, скріншоти та натискання клавіш,
завантажує додаткові пейлоади для глибшого проникнення.
Запити до командного центру C2 обмежені регіонально для Південної Азії, а шлях завантаження генерується динамічно — що ускладнює аналіз і детекцію. Це — свідчення того, що SideWinder активно вдосконалює свої інструменти, переходячи від старих Word-експлойтів до складніших ланцюгів зараження. SideWinder — відомий шпигунський актор, що діє принаймні з 2012 року, орієнтуючись на урядові, військові та дипломатичні структури Азії.
У 2024 році вже фіксував подібні атаки цієї групи проти об’єктів на Близькому Сході й в Африці.
У травні 2025 року Acronis також повідомляв про атаки SideWinder проти урядових установ у Шрі-Ланці, Бангладеші та Пакистані з використанням уразливостей Microsoft Office.
Тепер же група впроваджує новий підхід із легальним софтом, цифровими підписами та PDF-файлами — підвищуючи рівень прихованості своїх операцій. Кампанія SideWinder демонструє перехід шпигунських операцій на рівень державного інжинірингу атак: використання легітимних компонентів, регіональне обмеження C2 і багатоступеневі завантажувачі. Для захисту організаціям слід впроваджувати контроль цифрових підписів, аналітику поведінкових аномалій і сегментацію поштових систем, особливо у дипломатичних структурах.
