Hacker sponsorizzati dallo stato stanno tentando di distribuire Crimson Remote Administration Tool (RAT) sui sistemi di bersagli attraverso una campagna di spear-phishing utilizzando documenti a tema Coronavirus mascherate da avvisi di salute.
Si sospetta che questo cyber-spionaggio sostenuto dalla nazione sia basato in Pakistan ed è attualmente tracciato con più nomi tra cui APT36 , Transparent Tribe , ProjectM, Mythic Leopard e TEMP.Lapis.
Il gruppo, attivo da almeno il 2016, è noto per aver preso di mira la difesa indiana e entità governative e per aver rubato informazioni sensibili progettate per sostenere gli sforzi diplomatici e militari del Pakistan.
APT36 utilizza due formati di richiamo in questa campagna: documenti Excel con macro dannose incorporate e file di documenti RTF progettati per sfruttare la vulnerabilità legata all’esecuzione di codice in modalità remota Microsoft Office / WordPad CVE-2017-0199 .
