从2021年6月，一个可能来自巴基斯坦的攻击者与一个针对感兴趣目标的后门攻击有关，该攻击使用了一种基于 windows 的远程访问木马，名为 CrimsonRAT。

Cisco Talos公司的研究人员在与The Hacker News分享的一份分析报告中说: “透明部落黑客是印度次大陆高度活跃的 APT 组织。”“他们的主要目标是阿富汗和印度的政府和军事人员。这场攻击进一步加强了这种针对性，以及他们的核心目标是建立长期间谍渠道。”

上个月，该APT组织扩展了它的恶意软件工具集，用一个名为 CapraRAT的后门侵入了安卓设备，这个后门与 CrimsonRAT 有很高的“重合度”。

Cisco Talos 公司详细介绍的最新一系列攻击包括利用伪造的合法政府和相关组织的虚假域名来传递恶意有效负载，有效负载包含一个基于 python 的存储器，用于安装基于 .NET的侦察工具和RAT，以及一个原装的基于 .NET的植入，在受感染的系统上运行任意代码。

除了不断改进他们的部署策略和恶意功能，透明部落黑客依赖于各种各样的分发方法，例如可执行程序冒充合法应用程序、文档、武器化的文档的安装程序，以攻击印度实体和个人。

其中一个下载程序可执行程序冒充为 Kavach (在印度语中意为“盔甲”) 以传递恶意程序，Kavach是一个印度政府授权的双因素身份验证解决方案，用于访问电子邮件服务。

另外还有 covid-19主题的诱饵图像和 VHD格式文件，这些文件被用作从远程命令和控制服务器（比如CrimsonRAT）检索额外有效载荷的发射台，CrimsonRAT用于收集敏感数据和建立进入受害者网络的长期访问。

研究人员表示: “使用多种类型的分发工具和新型定制易修改的恶意软件，以适应各种紧急操作，这表明该组织具有攻击性、持久性、灵活性，并不断改进他们的策略，以感染目标。”