印度相关黑客组织Patchwork从2015年12月开始活跃，主要通过鱼叉式钓鱼攻击针对巴基斯坦。在2021年11月底至12月初的最新活动中，Patchwork利用恶意RTF文件推出了BADNEWS(Ragnatela)远程管理木马(RAT)的变种。然而有趣的是，这个活动不小心伤到了自己，让安全研究人员得以一窥其基础设施。

这个活动第一次针对几个专注于分子医学和生物科学的老师。讽刺的是，攻击者用自己的老鼠感染了自己的电脑，以至于安全公司Malwarebytes收集了他们电脑和虚拟机的击键和截图。

通过分析，Malwarebytes认为该活动是BADNEWS RAT的新变种，名为Ragnatela，通过鱼叉式钓鱼邮件传播给巴基斯坦的相关目标。Ragnatela在意大利语中是蜘蛛网的意思，也是Patchwork APT使用的项目名称和面板。

在该活动中，用户点击这些恶意RTF文档后，可以利用微软方程式编辑器中的漏洞植入RAT程序，该程序将作为OLE对象存储在RTF文件中。设备被感染后，会与外部C & ampC server建立连接，具有执行远程命令、截屏、记录按键、收集设备上所有文件列表、在特定时间执行指定程序、上传或下载恶意程序等功能。

Natelarat是在11月下旬开发的，如其程序数据库(PDB)路径“E:new _ ops jlit _ _ change _ ops-29No–copyleasejlist . pdb”所示，被用于网络间谍活动。

Ragelarat允许威胁参与者执行恶意操作，例如:

●通过cmd执行命令

●截图

●记录键盘按键

●收集受害者机器中所有文件的列表。

●收集特定时间段内受害者机器中运行的应用程序列表。

●下载附加有效载荷

●上传文件

为了给受害者分发老鼠，Patchwork用假扮成巴基斯坦当局的文件引诱他们。例如，一个名为EOIForm.rtf的文件被威胁上传到他们自己的服务器karachidha[。]org/docs/。该文件包含一个漏洞(微软方程式编辑器)，其目的是破坏受害者的计算机，并执行最终的有效载荷(RAT)。

然而，Malwarebytes发现Patchwork自己也感染了Ragnatela。通过RAT，研究人员找到了该组织开发的基本框架，包括运行Virtual Box、作为Web开发和测试环境的VMware、作为其主机的英语和印地语双键盘配置以及尚未更新的Java程序。此外，他们使用VPN Secure和CyberGhost来隐藏自己的IP地址，并通过VPN登录受害者的电子邮件和其他被rat窃取的帐户。