O grupo de cibercriminosos Patchwork, supostamente ligado ao governo indiano, lançou uma nova campanha de spear-phishing contra empresas de defesa na Turquia, usando arquivos LNK maliciosos. O ataque visa obter informações estratégicas sensíveis, especialmente relacionadas a sistemas de veículos não tripulados (UAVs) e tecnologias de mísseis. Segundo pesquisadores de cibersegurança, os cibercriminosos enviaram e-mails disfarçados de convites para conferências, contendo atalhos do Windows (.lnk) que, ao serem abertos, iniciam uma cadeia de infecção de cinco estágios.
Os comandos ativados via PowerShell baixam cargas adicionais de um servidor remoto hospedado no domínio “expouav[.]org”, criado recentemente. O golpe inclui um PDF falso sobre uma conferência internacional para distrair a vítima enquanto o malware é executado em segundo plano. Entre os alvos está um fabricante turco de mísseis guiados de precisão. O momento da campanha coincide com o fortalecimento das relações de defesa entre Turquia e Paquistão, em meio a tensões persistentes entre Índia e Paquistão. A cadeia de infecção resulta na instalação de uma DLL maliciosa por meio de técnicas de carregamento lateral e tarefas agendadas.
Uma vez no sistema, o malware coleta informações detalhadas, realiza capturas de tela e as envia para o servidor de comando e controle dos atacantes. Essa campanha marca uma evolução técnica do Patchwork, que passou a usar executáveis x86 com estruturas de comando mais avançadas, ampliando sua capacidade de operação. Também foram identificadas possíveis ligações com o grupo DoNot Team, sugerindo colaboração entre ameaças cibernéticas regionais.
