Компания Sekoia.io раскрыла операцию кибершпионажа, которая была проведена против индийских госучреждений, использующих системы Linux. Активность, приписываемая пакистанской группировке TransparentTribe (также известной как APT36), связана с использованием нового инструмента удалённого доступа под названием DeskRAT.
Кампания началась в июне 2025 года и была направлена в первую очередь на системы под управлением дистрибутива Linux Bharat Operating System Solutions (BOSS), одобренного индийским правительством. Исследователи обнаружили, что фишинговые письма использовались для рассылки вредоносных ZIP-архивов, содержащих поддельные документы, касающиеся вопросов обороны страны и региональных беспорядков.
В отличие от предыдущих операций TransparentTribe, опиравшихся на легитимные облачные сервисы хранения данных, такие как Google Drive, эта кампания эксплуатировала выделенные промежуточные серверы для распространения вредоносного ПО. После открытия заражённый файл выполнял последовательность команд Bash, которая загружала, декодировала и запускала двоичную полезную нагрузку, а затем отображала пользователю фейковый PDF-файл. Последняя полезная нагрузка, DeskRAT, представляет собой троян удалённого доступа на языке Golang.
Группа TransparentTribe, действующая как минимум с 2013 года, известна шпионажем в интересах военных Пакистана. Аналитики с высокой степенью уверенности полагают, что описанная кампания направлена на сбор разведывательной информации из индийских военных и правительственных сетей в периоды политической напряжённости.
По мнению специалистов Sekoia.io, код вредоноса включал функции, предполагающие возможное использование больших языковых моделей при её разработке. Они также обнаружили новый, сложный командный интерфейс, связанный со скомпрометированными системами. Его панель управления позволяет проводить мониторинг в режиме реального времени, собирать файлы и осуществлять удалённый доступ к заражённым хостам.
Анализ свидетельствует о сохраняющемся внимании к средам Linux и тенденции к разработке вредоносного ПО и инфраструктуры специального назначения. Кроме того, широкое использование нейросетей атакующими сокращает циклы разработки зловредов, таких как RAT и C2. Эксперты советуют службам безопасности «адаптироваться и использовать LLM для решения этих задач».
Усам Оздемиров
