През август и септември 2025 г. френската компания за киберсигурност Sekoia наблюдава целеви фишинг атаки, насочени към индийски правителствени институции, извършени от хакерска група с предполагаеми връзки към Пакистан. Атаките, приписани на групата Transparent Tribe (известна още като APT36), активна от поне 2013 г., разпространяват зловреден софтуер на базата на Golang, наречен DeskRAT. Кампанията надгражда предишни атаки, разкрити от CYFIRMA през август 2025 г.

Механизъм на атаките

Атаките започват с изпращането на фишинг имейли, съдържащи ZIP файл като прикачен файл или линк към архив, хостван на легитимни облачни услуги като Google Drive. В ZIP файла се намира зловреден Desktop файл, който изпълнява команда за отваряне на примамлив PDF документ („CDS_Directive_Armed_Forces.pdf“) чрез Mozilla Firefox, докато едновременно стартира основния зловреден код. И двата компонента се изтеглят от външен сървър „modgovindia[.]com“ и се изпълняват. Кампанията е насочена към Linux системи, използващи BOSS (Bharat Operating System Solutions), като троянецът за отдалечен достъп установява връзка с командно-контролен (C2) сървър чрез WebSockets.

Методи за персистентност

DeskRAT използва четири метода за осигуряване на персистентност в заразените системи:

• Създаване на systemd услуга.
• Настройка на cron задача.
• Добавяне на зловредния софтуер в директорията за автоматично стартиране („$HOME/.config/autostart“).
• Конфигуриране на .bashrc за изпълнение на троянеца чрез shell скрипт, записан в „$HOME/.config/system-backup/“.

Функционалности на DeskRAT

Зловредният софтуер поддържа пет команди:

• Ping: Изпраща JSON съобщение с текущ времеви отпечатък и „pong“ до C2 сървъра.
• Heartbeat: Изпраща JSON съобщение с отговор за активност и времеви отпечатък.
• Browse_files: Изпраща списък на директории.
• Start_collection: Търси и изпраща файлове с предварително зададени разширения и размер под 100 MB.
• Upload_execute: Записва и изпълнява допълнителен Python, shell или Desktop зловреден код.

Според Sekoia, C2 сървърите на DeskRAT се наричат „стелт сървъри“, тъй като не фигурират в публично достъпни NS записи за свързаните домейни. Първоначално кампаниите използваха легитимни облачни платформи като Google Drive за разпространение на зловредния код, но Transparent Tribe премина към специализирани сървъри за междинно съхранение.

Атаки срещу Windows системи

Според доклад на QiAnXin XLab, кампанията е насочена и към Windows системи с друг Golang-базиран бекдор, наречен StealthServer. Той се разпространява чрез фишинг имейли с манипулирани Desktop файлове и се среща в три варианта:

• StealthServer Windows-V1 (юли 2025): Използва техники за избягване на анализ и дебъгване, установява персистентност чрез планирани задачи, PowerShell скрипт в папката за стартиране на Windows и промени в регистъра. Комуникира с C2 сървъра чрез TCP за изброяване и трансфер на файлове.
• StealthServer Windows-V2 (края на август 2025): Добавя проверки срещу инструменти като OllyDbg, x64dbg и IDA, запазвайки функционалността.
• StealthServer Windows-V3 (края на август 2025): Използва WebSocket за комуникация и има същите функции като DeskRAT.

За Linux системите са открити два варианта на StealthServer. Първият е DeskRAT с допълнителна команда „welcome“. Вторият използва HTTP за C2 комуникация и поддържа три команди: изброяване на файлове, качване на файлове и изпълнение на bash команди. Той търси файлове от кореновата директория („/“) и ги изпраща криптирани чрез HTTP POST до „modgovindia[.]space:4000“. Този вариант вероятно е предшественик на DeskRAT, тъй като последният има специализирана команда „start_collection“ за ексфилтрация на файлове.

Други заплахи от Южна и Източна Азия Паралелно с това бяха разкрити кампании от други хакерски групи, фокусирани върху Южна Азия:

• Bitter APT: Насочена към правителствени, енергийни и военни сектори в Китай и Пакистан чрез фишинг с Excel файлове или RAR архиви, експлоатиращи уязвимост CVE-2025-8088, за разпространение на C# имплант „cayote.log“.
• SideWinder: Провежда операция SouthNet, насочена към морския сектор и други индустрии в Пакистан, Шри Ланка, Бангладеш, Непал и Мианмар, използвайки портали за кражба на идентификационни данни и зловредни документи.
• OceanLotus (APT-Q-31): Виетнамска група, атакуваща предприятия и правителства в Китай и съседни страни от Югоизточна Азия с рамката Havoc.
• Mysterious Elephant (APT-K-47): Използва експлойт комплекти, фишинг и зловредни документи за атаки срещу правителствени и външнополитически сектори в Пакистан, Афганистан, Бангладеш, Непал, Индия и Шри Ланка. Разпространява PowerShell скрипт, който инсталира BabShell (C++ reverse shell), MemLoader HidenDesk (зарежда Remcos RAT в паметта) и MemLoader Edge (зарежда VRat).

Тези атаки включват модули като Uplo Exfiltrator и Stom Exfiltrator за ексфилтрация на WhatsApp комуникации, както и ChromeStealer Exfiltrator за кражба на данни от Google Chrome.

Transparent Tribe и други групи от Южна и Източна Азия демонстрират висока активност и сложност, използвайки разнообразни инструменти и бързо адаптиращи се тактики. Тяхната способност да разработват персонализиран зловреден софтуер и да експлоатират легитимни платформи подчертава необходимостта от подобрена киберсигурност, особено за правителствени и критични инфраструктури.