Pakistan-Linked SideCopy Deploys XenoRAT in Targeted Government Espionage Campaign dy.si/ZX6gU

Pakistan-Linked SideCopy Deploys XenoRAT in Targeted Government Espionage Campaign dy.si/TJp5Pn2

⚠️ SideCopy Deploys XenoRAT Malware in New Afghanistan Campaign cybersecuritynews.com/sideco… The Pakistan-linked threat group SideCopy is back with a new campaign, this time deploying XenoRAT malware against Afghanistan’s Ministry of Finance. The operation targeted finance officials across all 34 Afghan Mustoufiats, using a spear phishing ZIP with a malicious shortcut disguised as a PDF. The chain abused mshta.exe, loaded payloads from a compromised Afghan education domain, and deployed XenoRAT 1.8.7 with registry and scheduled task persistence. #ThreatIntelligence #SideCopy #XenoRAT #CyberSecurity

Pakistan-Linked SideCopy Deploys XenoRAT in Targeted Government Espionage Campaign dy.si/hDhN3

Pakistan-Linked SideCopy Deploys XenoRAT in Targeted Government Espionage Campaign dy.si/PL46nK

Pakistan-Linked SideCopy Deploys XenoRAT in Targeted Government Espionage Campaign dy.si/hmKk6S

3/ The campaign has been attributed to a hacking group known as SideCopy, which researchers believe is associated with the larger cyber espionage network Transparent Tribe (APT36). The group has previously been linked to cyber operations across South Asia.

A deep look at the SideCopy XenoRAT malware attack targeting the Afghan Ministry of Finance. Learn how Operation XENOFISCAL bypasses defenses. #SideCopy #XenoRAT #CyberSecurity #OperationXENOFISCAL #ThreatIntel securityonline.info/sidecopy…

#ThreatProtection Operation #XENOFISCAL attributed to Pakistan-linked #SideCopy, which uses in-memory loaders and encrypted C2 channels to deploy XenoRAT and maintain covert access within government environments, read more: broadcom.com/support/securit…

حمله سایبری به جمهوری اسلامی افغانستان 😅 محققان امنیت سایبری جزئیات یک کمپین فیشینگ هدفمند (spear-phishing) را فاش کردند که احتمالاً توسط گروه SideCopy وابسته به پاکستان علیه وزارت مالیه افغانستان انجام شده است. این کمپین که «عملیات XENOFISCAL» نام گرفته، از یک تروجان دسترسی از راه دور متن‌باز (open-source RAT) به نام Xeno RAT بهره می‌برد. حمله با ارسال یک فایل فشرده ZIP حاوی یک فایل مخرب LNK با نام‌گذاری عمدی به زبان پشتو آغاز می‌شود که نشان‌دهنده آشنایی مهاجمان با محیط هدف است. علاوه بر وزارت مالیه، ادارات درآمد و مالیه استانی، مقامات دولتی پشتو‌زبان و کارمندان دولتی در سطح استان‌ها نیز هدف این کمپین قرار گرفته‌اند. SideCopy زیرمجموعه گروه تهدید Transparent Tribe (معروف به APT36) است که پیش‌تر در آوریل ۲۰۲۵ نیز به حملاتی علیه بخش‌های مختلف هند با استفاده از همین ابزارهای بدافزاری نسبت داده شده بود. از نظر فنی، فایل LNK از طریق «mshta.exe» یک فایل HTML Application مخرب (HTA) را از یک دامنه آموزشی افغانستانی به خطر افتاده بارگیری می‌کند و زنجیره‌ای از کدهای جاوااسکریپت مبهم‌سازی‌شده را در حافظه اجرا می‌نماید. این بدافزار با جعل هویت مرورگر Microsoft Edge پایداری (persistence) خود را در رجیستری ویندوز تثبیت کرده و قابلیت‌هایی نظیر ثبت کلیدها (keylogging)، گرفتن تصویر از صفحه، نظارت بر کلیپ‌بورد، تونل‌سازی شبکه از طریق پروکسی SOCKS5 و دسترسی به وب‌کم و میکروفون را داراست. همزمان با این افشاگری، گزارش‌هایی از یک کمپین فیشینگ جداگانه منتسب به Transparent Tribe منتشر شده که با استفاده از فایل‌های مخرب .desktop در لینوکس و مهندسی اجتماعی (social engineering) از طریق واتس‌اپ، زیرساخت نظامی هند را هدف قرار داده و یک ایمپلنت مبتنی بر Golang به نام DeskRAT را مستقر می‌سازد.

Pakistan-Linked SideCopy Targets Afghanistan Finance Ministry with Xeno RAT thehackernews.com/2026/06/pa…

Pakistan-Linked SideCopy Targets Afghanistan Finance Ministry with Xeno RAT thehackernews.com/2026/06/pa…

Pakistan-Linked SideCopy Targets Afghanistan Finance Ministry with Xeno RAT thehackernews.com/2026/06/pa…

Pakistan-Linked SideCopy Targets Afghanistan Finance Ministry with Xeno RAT i.securitythinkingcap.com/TS…

⚠️ Pakistan-aligned SideCopy group is hitting Afghanistan’s Ministry of Finance with spear-phishing attacks using Xeno RAT. Attackers are sending ZIP files with malicious LNK files named in Pashto to trick government officials. The LNK uses mshta.exe to install Xeno RAT 1.8.7, which gives attackers persistent access for keylogging, screenshots, and more. Read: thehackernews.com/2026/06/pa…

Seqrite uncovers Operation XENOFISCAL, a spear-phishing campaign targeting Afghanistan’s Ministry of Finance with TTP overlaps with the Pakistan-linked SideCopy cluster. The attack uses a ZIP-delivered LNK & a structured chain deploying persistent XenoRAT. seqrite.com/blog/operation-x…

パキスタン系APT「SideCopy」が、アフガニスタン財務省を標的とした標的型フィッシング攻撃を実施していたことが判明した。攻撃は全国34州の歳入局を狙ったもので、最終的にカスタマイズ版のXenoRATを展開して機密情報の窃取を試みる。 Seqriteによると、攻撃メールにはZIPファイルが添付され、その中のLNKファイルには「知的・心理戦セミナー参加職員一覧」を意味するパシュトー語の名称が付けられていた。実行すると州ごとの財務責任者や歳入担当者の氏名、連絡先を記載したおとり文書を表示する一方で、裏でマルウェア感染が進行する。 攻撃ではmshta.exeなど正規ツールを悪用して複数段階のペイロードを取得し、メモリ上で実行するファイルレス手法を採用。AMSIの無効化やレジストリ永続化機能も備えており、最終的にXenoRAT 1.8.7を展開する。感染後はキーロギング、画面キャプチャ、Webカメラ監視、SOCKS5トンネリングなどが可能となる。 研究者は、詳細な職員名簿を利用している点から、攻撃前に大規模な情報収集が行われたと分析している。また、SideCopyは従来のAsyncRATからオープンソースマルウェアを改変した独自ツールへ移行しており、今回もその流れに沿った活動とみられている。 gbhackers.com/sidecopy-deplo…

Seqrite reports that SideCopy deployed persistent XenoRAT against Afghanistan’s Ministry of Finance and provincial finance offices via a Pashto spear-phish LNK, HTA loaders, in-memory DLLs, and robust C2. seqrite.com/blog/operation-x…

SideCopy Deploying XenoRAT While Targeting MoF, Afganistan. @malwrhunterteam @skocherhan @smica83