DoNot黑客团队针对南亚的政府和军事实体

至少自2020年9月以来，通过部署其定制恶意软件框架的不同变体，一个可能与一家印度网络安全公司有关联的威胁行为体对包括孟加拉国、尼泊尔和斯里兰卡在内的南亚军事组织发起了攻击，如果说这种攻击持续性非常强的话，那也算不了什么。

斯洛伐克网络安全公司ESET将这起具有高度针对性的攻击归因于一个名为Donot Team的黑客组织。研究人员法孔多·穆尼奥斯（Facundo Muñoz）和马蒂斯·波罗利（Matías Porolli）说：“多诺特团队一直以每两到四个月就有一波带有恶意附件的矛式网络钓鱼电子邮件的相同实体为目标。”。

Donot团队（也称为APT-C-35和SectorE02）至少从2016年开始运作，与一系列入侵有关，这些入侵主要针对孟加拉国、斯里兰卡、巴基斯坦和尼泊尔的大使馆、政府和军事实体，使用Windows和安卓恶意软件。

2021年10月，大赦国际出示了证据，将该组织的攻击基础设施捆绑在一家名为“因纽弗实验室”的印度网络安全公司上，这引发了人们怀疑该威胁者可能正在出售间谍软件或为该地区政府提供黑客雇佣服务。

虽然APT团队通过部署更隐蔽的后门来掩盖自己的踪迹，从而重新攻击之前受损的网络并不罕见，但Donot团队尝试了一种不同的策略，部署了其武库中已有的多种恶意软件变体。

通过武器化的Microsoft Office文档交付，所谓的yty恶意软件框架是一系列中间下载程序，最终执行一个后门，该后门负责检索其他组件，这些组件能够获取文件、记录击键和屏幕截图，并部署反向外壳进行远程访问。

ESET将YTY、黑暗音乐剧和GEDIT的新变种命名为遥测数据，指向从3月到2021年7月的Jaca第三变种的攻击。第一次使用黑暗音乐剧的攻击据说发生在2021年6月，而GeDIT相关的活动早在2020年9月就被观察到，只是在一年后才加快脚步。

更重要的是，二月和2021年3月在孟加拉和斯里兰卡军事组织发生的第四次袭击利用了GEDIT代号为Henos的修正版。

研究人员总结道：“Donot团队以顽强的精神弥补了其低复杂度。”。“我们预计，尽管遭遇了许多挫折，该组织仍将继续前进。只有时间才能证明该组织是否会改进其当前的TTP和恶意软件。”