Pakistansk spionagekampagne mod indiske universiteter afdækket

Eskil Sørensen

01.06.2026 09:37

Målrettet angreb mod akademiske institutioner

Ifølge en ny rapport fra cybersikkerhedsfirmaet Cyfirma, som er omtalt i mediet The Record, har en pakistansk trusselsaktør gennemført en omfattende spionagekampagne mod indiske universiteter og forskningsinstitutioner. Formålet med angrebet har været at indsamle følsomme data om forskning, akademiske projekter og interne systemer.

Avancerede metoder og værktøjer

Cyfirma tilskriver angrebet en pakistansk gruppe APT36, også kendt som Transparent Tribe, der har en historik for at angribe regerings-, uddannelses- og forsvarsrelaterede mål i nabolandet. Gruppen har tidligere været aktiv i kampagner rettet mod regeringsorganisationer, men har nu udvidet sit fokus til akademiske institutioner – et tegn på, at forskning og innovation er blevet en strategisk ressource i geopolitisk sammenhæng.

Angrebet blev udført ved hjælp af spear-phishing-kampagner, hvor e-mails med ondsindede vedhæftede filer blev sendt til forskere og universitetsansatte. Disse filer i form af ZIP-arkiv indeholdt en ondsindet fil, der er forklædt som en PDF. Når filen åbnes, leverer den to malware-komponenter, kaldet ReadOnly og WriteOnly.

Dette gav angriberne fjernadgang til kompromitterede systemer. Cyfirma rapporterer, at der blev anvendt custom malware og teknikker til at skjule kommunikationen med command-and-control-servere, hvilket gjorde det vanskeligt at opdage angrebet.

Malwaren er udviklet til diskret at indlejre sig på ofrenes systemer og tilpasse sin adfærd baseret på, hvilken antivirussoftware der er installeret. Ifølge Cyfirma kan den:

Fjernstyre inficerede maskiner
Eksfiltrere data
Udføre vedvarende overvågning, herunder tage skærmbilleder, overvåge udklipsholderen og aktivere fjernadgang til skrivebordet

Researchere advarer om, at overvågning af udklipsholderen også kan bruges til at stjæle eller overskrive kopierede data, hvilket potentielt giver angriberne mulighed for at kapre kryptovalutatransaktioner.

APT36 har ifølge The Record været aktiv siden mindst 2013 og er blevet knyttet til cyber-spionagekampagner rettet mod regerings- og militærorganisationer i Indien og Afghanistan samt institutioner i omkring 30 lande.

Gruppen overlapper også med en anden Pakistan-tilknyttet trusselsaktør, Cosmic Leopard, som gennemførte en flerårig spionagekampagne mod indiske regeringsorganer og forsvars- og teknologirelaterede virksomheder.

Læs mere

https://therecord.media/pakistan-linked-hacking-group-targets-indian-orgs

Sikkerhedshændelse