TransparentTribe يستهدف أنظمة لينكس العسكرية الهندية باستخدام DeskRAT

بدأت الحملة، التي نسبت إلى TransparentTribe (المعروفة أيضًا باسم APT36 أو Operation C-Major)، في يونيو 2025 واكتشفتها CYFIRMA في يوليو 2025. هذه المجموعة ذات الروابط الباكستانية، النشطة منذ على الأقل 2013، تركز على التجسس السيبراني الذي يدعم المصالح الاستراتيجية ضد الهند.

يوصل البريد الإلكتروني الاحتيالي أرشيفات ZIP، مثل 'Cyber-Security-Advisory.zip' أو 'MoM_regarding_Defence_Sectors_by_Secy_Defence_25_Sep_2025.zip'، التي تحتوي على ملفات .desktop مسلحة مصممة خصيصًا لنظام BOSS Linux، نظام التشغيل المدعوم من الحكومة الهندية. عند التنفيذ، تُطلق هذه الملفات أوامر Bash من سطر واحد تستخدم أدوات مدمجة مثل curl وbase64 وeval لتحميل حمولات مشفرة من نطاقات تشمل modgovindia[.]com. يتم فك تشفير الحمولة في دليل /tmp/، وتحصل على أذونات تنفيذية، وتعمل بهدوء في الخلفية بينما تفتح ملف PDF خادع —مثل 'CDS_Directive_Armed_Forces.pdf'— في Firefox لإلهاء المستخدمين.

اعتمدت الإصدارات السابقة على روابط Google Drive، لكن الهجمات الأخيرة تنتقل إلى خوادم staging مخصصة لأفضل خفاء. تخفي الأوامر بين بيانات PNG المعلقة، على الرغم من أن الاعتماد على xxd (غير افتراضي في BOSS Linux) قد يسبب فشل التنفيذ.

النهاية هي DeskRAT، وهو تروجان وصول عن بعد معياري مبني على Golang مع أسماء وظائف وصفية تشير إلى مساعدة نماذج لغة كبيرة. عينته (MD5: 3563518ef8389c7c7ac2a80984a2c4cd) تشمل روتينات تجنب غير مستخدمة. يحقق DeskRAT الاستمرارية عبر خدمات systemd وcrontab وملفات بدء تلقائي وسكريبتات bash. يتصل عبر WebSocket غير آمن بخادم C2 مثل seeconnectionalive[.]website وnewforsomething[.]rest على المنفذ 8080، مرسلًا JSON أوليًا ببيانات وصفية مزيفة مثل إصدارات Office المشفرة ثابتًا.

يصل المشغلون إلى لوحة تحكم قائمة على الويب لتصفح الملفات واستخراج البيانات وأوامر بعيدة وتحميل الحمولات. يستغل التوقيت الاضطرابات، بما في ذلك احتجاجات لاداخ في سبتمبر 2025 ومسيرات نيو دلهي في أغسطس 2025، في منطقة لاداخ الحساسة جيوسياسيًا الحدودية مع باكستان والصين.

يلاحظ المحللون تحول TransparentTribe نحو أهداف لينكس كزيادة في التعقيد، محثين على تصفية البريد الإلكتروني وتعزيز النظام والمراقبة لشبكات الدفاع الهندية.