O grupo de espionagem cibernética Bitter APT, suspeito de origem no Sul da Ásia, atacou uma organização do setor de defesa na Turquia em novembro de 2024. A operação envolveu a entrega de duas famílias de malware, conhecidas como WmRAT e MiyaRAT, escritas em C++, com o objetivo de coletar informações sensíveis e obter acesso remoto ao sistema-alvo.

Segundo pesquisadores da Proofpoint, a cadeia de ataque utilizou fluxos alternativos de dados (ADS) em um arquivo RAR, que continha um arquivo de atalho (LNK). Ao ser executado, o arquivo LNK criava uma tarefa agendada na máquina de destino, responsável por baixar cargas adicionais do malware. A estratégia visava dificultar a detecção do ataque, usando recursos do sistema para ocultar as ações maliciosas.

O grupo Bitter APT, ativo desde pelo menos 2013, tem um histórico de ataques direcionados a organizações de países como China, Paquistão, Índia, Arábia Saudita e Bangladesh. Conhecido também pelos nomes APT-C-08, APT-Q-37, Hazy Tiger e Orange Yali, o grupo foca principalmente em espionagem cibernética e coleta de inteligência para governos do sul da Ásia.

Além de suas campanhas contra organizações governamentais e empresariais, o Bitter APT tem sido associado à implantação de malware para Android, como PWNDROID2 e Dracarys, em ataques que visam dispositivos móveis. Em fevereiro de 2024, uma agência governamental chinesa foi vítima de um ataque de spear-phishing, que entregou um trojan para roubo de dados e controle remoto. A última campanha documentada envolveu o uso de iscas relacionadas a projetos de infraestrutura pública em Madagascar para atrair as vítimas a executar o arquivo malicioso.