Доставка начинается с фишинговых писем, часто имитирующих официальную переписку (например, списки отпусков для ж/д, гайдлайны по кибербезу от HPCL). Используются скомпрометированные email-адреса или адреса, мимикрирующие под легитимные (gsosystems-ndc@outlook[.]com vs gsosystems.ndc-mod@nic[.]in). Ссылки в письмах ведут к загрузке архивов, содержащих LNK-файлы с двойным расширением (.pdf.lnk). Эти ярлыки запускают cmd.exe с обфусцированными командами (используя ^), которые через msiexec.exe /q /i <URL> скачивают и устанавливают MSI-пакеты. Примечательно, что для хостинга MSI используются как поддельные домены (egovservice[.]in), так и скомпрометированные легитимные правительственные ресурсы (например, nhp.mowr.gov.in – сайт National Hydrology Project).

MSI-пакеты содержат .NET-дроппер (например, ConsoleApp1.exe), который извлекает и размещает несколько файлов (часто в C:\ProgramData\LavaSoft\). Среди них – легитимная DLL (Sampeose.dll), вредоносная DLL (CurlBack RAT, например, DUI70.dll) и подписанный легитимный исполняемый файл (girbesre.exe, ориг. CameraSettingsUIHost.exe), который и загружает вредоносную DLL через DLL side-loading. Для закрепления используется HTA-скрипт (svnides.hta), прописывающий автозапуск через Run key или Scheduled Task (имя OneDrive). CurlBack RAT перед основной активностью проверяет ответ от C2 по URL /antivmcommand, собирает информацию о системе и USB-устройствах (SYSTEM\ControlSet001\Enum\USBSTOR), генерирует уникальный UUID для регистрации на C2 (/retsiger/), сохраняет его в \.client_id.txt и поддерживает связь (/taebtraeh/, /sdnammoc/) для получения команд (info, download, run, permission, cmd и др.) и отправки результатов (/stluser/). Для передачи файлов использует curl.

Параллельно с атаками на Windows, SideCopy атакует и Linux. Используется Go-based ELF бинарный файл-стейджер (схожий со стейджерами Poseidon и Ares RAT), который скачивает через wget и запускает финальную нагрузку – кастомизированную версию Spark RAT. Spark RAT – опенсорсный кроссплатформенный RAT на Go, использующий WebSocket/HTTP для связи с C2. Он обеспечивает широкий функционал: управление процессами, файлами, мониторинг сети, удаленный терминал и т.д. Стейджер также обеспечивает персистентность через crontab.

В других кластерах атак (Cluster-B) SideCopy все еще использует связку LNK -> HTA. HTA-файл содержит Base64-кодированный .NET-загрузчик (BroaderAspect.dll), который загружается в память mshta.exe. Этот загрузчик извлекает из ресурсов (Myapp.pdb) PDF-файл, к которому в конце (после маркера `%%EOF`) прикреплен зашифрованный исполняемый файл (suport.exe). Данные расшифровываются через PowerShell с использованием AES (ключ передается как параметр -EKey), и финальная полезная нагрузка – кастомная версия Xeno RAT (DevApp.exe) – загружается в память рефлексивно. Этот вариант Xeno RAT (C# опенсорс) модифицирован для кражи данных браузеров и использует C2 79.141.161[.]58:1256.

Инфраструктура атак включает не только скомпрометированные сайты, но и целую сеть фишинговых поддоменов на фейковом домене egovservice[.]in, имитирующих госсервисы (веб-почта, управление ЗП и т.д.) для кражи учетных данных, особенно в штате Махараштра. C2-серверы часто размещаются за Cloudflare, используя те же ASN, что и в предыдущих кампаниях группы.