Verteilt wurde die Schadsoftware laut Seqrite über Infrastruktur, die auf afghanischen Regierungsservern lag. Dadurch konnten die Angreifer ihren Datenverkehr mit legitimer staatlicher Kommunikation vermischen und einer Erkennung auf Netzwerkebene entgehen. Wie SideCopy Zugang zu dem kompromittierten Server einer afghanischen Bildungsdomain erlangte, ist nicht bekannt.
Nach dem Öffnen der Datei nahm XenoRAT Verbindung zu Servern auf, die die Angreifer in Europa betrieben. Über diese Kanäle konnten sie infizierte Rechner ausspähen und weitere schädliche Aktivitäten ausführen. „Während das Opfer liest, was wie ein routinemäßiges internes Regierungsdokument aussieht, hat die Schadsoftware ihre Installation im Hintergrund bereits unbemerkt abgeschlossen", schreiben die Forscher von Seqrite.
Der Einsatz von Paschtu war nach Einschätzung von Seqrite vermutlich Absicht. Die Sprache ist in afghanischen Regierungsinstitutionen weit verbreitet und gerade unter den Finanzbeamten der Provinzen gebräuchlich, die das Hauptziel der Operation gewesen zu sein scheinen. Die Genauigkeit des Köderdokuments deute zudem darauf hin, dass die Angreifer vor dem Start der Kampagne Aufklärung betrieben hätten.
Betroffen waren laut dem Bericht nicht nur das Finanzministerium, sondern auch die Steuer- und Finanzdirektionen der Provinzen, paschtusprachige Regierungsbeamte sowie weitere Beschäftigte der Provinzverwaltungen.
SideCopy ist mindestens seit 2019 aktiv und wird von Forschern häufig mit Operationen in Verbindung gebracht, die jenen von APT36 ähneln – einer auch als Transparent Tribe bekannten und mit Pakistan assoziierten Gruppe. Seqrite hatte bereits zuvor beobachtet, wie SideCopy gegen Ende 2024 angepasste Versionen von XenoRAT einsetzte, als Teil einer umfassenderen Überarbeitung seines Werkzeugkastens.
Es ist nicht das erste Mal, dass afghanische Beamte Ziel einer Phishing-Kampagne werden. In einer separaten Operation, über die Seqrite kürzlich berichtete, griffen unbekannte Hacker afghanische Regierungsmitarbeiter mit Phishing-E-Mails an, die als offizielle Korrespondenz aus dem Büro des Premierministers getarnt waren. Diese E-Mails brachten eine datenstehlende Schadsoftware namens FalseCub mit sich. Eine Zuordnung dieser Operation zu einem konkreten Akteur nahmen die Forscher öffentlich nicht vor.
