El grupo de hackers vinculado a Pakistán, TransparentTribe, ha intensificado su ciberespionaje al dirigirse a sistemas basados en Linux en organizaciones militares indias con un nuevo troyano de acceso remoto basado en Golang llamado DeskRAT. La campaña, rastreada hasta junio de 2025, utiliza tácticas sofisticadas de phishing para entregar el malware. Este desarrollo resalta las capacidades técnicas en avance del grupo en medio de tensiones regionales.
TransparentTribe, un conjunto de intrusiones vinculado a Pakistán y activo desde al menos 2013, ha intensificado sus operaciones contra objetivos de defensa indios. La campaña fue documentada por primera vez por CYFIRMA en julio de 2025, con actividad inicial que data de junio de 2025. Los analistas de Sekoia identificaron más tarde muestras actualizadas en agosto y septiembre de 2025, revelando una cadena de infección evolucionada que el grupo ha refinado para evadir la detección.
Los ataques comienzan con correos electrónicos de phishing que contienen archivos ZIP disfrazados con nombres como “MoM_regarding_Defence_Sectors_by_Secy_Defence”. Al extraer el archivo, se obtiene un archivo DESKTOP que parece un PDF legítimo, completo con un icono de PDF. Al ejecutarse, este archivo emplea ofuscación avanzada: comandos maliciosos de Bash están ocultos dentro de miles de líneas de datos de imagen PNG comentados, con la sección clave [Desktop Entry] enterrada entre grandes bloques de estos datos.
El comando Bash de una línea crea un nombre de archivo único en el directorio /tmp/ usando una marca de tiempo, luego usa curl para descargar un binario codificado de un servidor de puesta en escena remoto. La carga útil se somete a conversión hexadecimal mediante xxd y descifrado Base64 antes de la ejecución a través de eval. Para mantener el engaño, Firefox abre un PDF señuelo del servidor de los atacantes, enmascarando la instalación del malware.
DeskRAT, escrito en Golang para compatibilidad multiplataforma, establece acceso persistente a través de conexiones WebSocket para comando y control. La infraestructura ha cambiado de alojar archivos ZIP en servicios como Google Drive a servidores de puesta en escena dedicados, mostrando una seguridad operativa mejorada. Sekoia implementó reglas YARA para detectar estas actividades, descubriendo muestras desconocidas para otros proveedores y subrayando los esfuerzos de TransparentTribe por superar las defensas en entornos Linux militares indios.