لقد كثّف مجموعة الاختراق المرتبطة بباكستان TransparentTribe أنشطتها في التجسس الإلكتروني من خلال استهداف أنظمة تعتمد على لينكس في المنظمات العسكرية الهندية بتروجان وصول عن بعد جديد مبني على Golang يُدعى DeskRAT. الحملة، التي يعود تتبعها إلى يونيو 2025، تستخدم تكتيكات تصيد احتيالي متقدمة لتوصيل البرمجيات الضارة. يبرز هذا التطور القدرات التقنية المتقدمة للمجموعة وسط التوترات الإقليمية.
TransparentTribe، مجموعة اختراق مرتبطة بباكستان ونشطة منذ عام 2013 على الأقل، قد كثّفت عملياتها ضد أهداف الدفاع الهندية. تم توثيق الحملة لأول مرة من قبل CYFIRMA في يوليو 2025، مع نشاط أولي يعود إلى يونيو 2025. حدد محللو Sekoia لاحقًا عينات محدثة في أغسطس وسبتمبر 2025، مكشفين سلسلة عدوى متطورة قامت المجموعة بتحسينها لتجنب الكشف.
تبدأ الهجمات ببريد إلكتروني تصيد احتيالي يحتوي على أرشيفات ZIP مغلفة بأسماء مثل “MoM_regarding_Defence_Sectors_by_Secy_Defence”. استخراج الأرشيف ينتج ملف DESKTOP يبدو كملف PDF شرعي، كاملاً مع أيقونة PDF. عند التنفيذ، يستخدم هذا الملف تشويشًا متقدمًا: أوامر Bash الضارة مخفية داخل آلاف الخطوط من بيانات صور PNG المعلقة، مع قسم [Desktop Entry] الرئيسي مدفون بين كتل كبيرة من هذه البيانات.
الأمر Bash في سطر واحد ينشئ اسم ملف فريد في دليل /tmp/ باستخدام طابع زمني، ثم يستخدم curl لتحميل ثنائي مشفر من خادم تمهيدي بعيد. تخضع الحمولة لتحويل هكساديسيمال عبر xxd وفك تشفير Base64 قبل التنفيذ من خلال eval. للحفاظ على الخداع، يفتح Firefox ملف PDF وهمي من خادم المهاجمين، مما يخفي تثبيت البرمجيات الضارة.
DeskRAT، المكتوب بلغة Golang للتوافق عبر المنصات، يقيم وصولاً مستمراً عبر اتصالات WebSocket للأوامر والتحكم. انتقلت البنية التحتية من استضافة ملفات ZIP على خدمات مثل Google Drive إلى خوادم تمهيدية مخصصة، مما يظهر تحسينًا في الأمان التشغيلي. نفذت Sekoia قواعد YARA لكشف هذه الأنشطة، مكشفة عينات غير معروفة لمزودي آخرين ومؤكدة جهود TransparentTribe للتفوق على الدفاعات في بيئات لينكس العسكرية الهندية.