El grupo de amenazas vinculado a Pakistán, TransparentTribe, ha lanzado una campaña de phishing desde junio de 2025 para desplegar el malware DeskRAT basado en Golang en sistemas Linux de las redes de defensa india. Los ataques explotan BOSS Linux a través de archivos ZIP maliciosos disfrazados de documentos oficiales. Las firmas de ciberseguridad CYFIRMA y Sekoia.io han analizado la operación, destacando sus vínculos con la inestabilidad regional.
La campaña, atribuida a TransparentTribe (también conocido como APT36 u Operation C-Major), comenzó en junio de 2025 y fue descubierta por CYFIRMA en julio de 2025. Este grupo con nexos en Pakistán, activo desde al menos 2013, se centra en el espionaje cibernético que apoya intereses estratégicos contra India.
Los correos de phishing entregan archivos ZIP, como 'Cyber-Security-Advisory.zip' o 'MoM_regarding_Defence_Sectors_by_Secy_Defence_25_Sep_2025.zip', que contienen archivos .desktop weaponizados adaptados para BOSS Linux, el sistema operativo respaldado por el gobierno de India. Al ejecutarse, estos archivos activan comandos de una línea en Bash que utilizan herramientas integradas como curl, base64 y eval para descargar cargas codificadas desde dominios como modgovindia[.]com. La carga se decodifica en el directorio /tmp/, obtiene permisos de ejecución y se ejecuta silenciosamente en segundo plano mientras abre un PDF señuelo —como 'CDS_Directive_Armed_Forces.pdf'— en Firefox para distraer a los usuarios.
Iteraciones anteriores dependían de enlaces de Google Drive, pero los ataques recientes se desplazan a servidores de staging dedicados para mayor sigilo. Los comandos están ocultos entre datos PNG comentados, aunque la dependencia de xxd (no predeterminado en BOSS Linux) puede causar fallos en la ejecución.
El objetivo final es DeskRAT, un troyano de acceso remoto modular en Golang con nombres de funciones descriptivos que sugieren asistencia de modelos de lenguaje grandes. Su muestra (MD5: 3563518ef8389c7c7ac2a80984a2c4cd) incluye rutinas de evasión no utilizadas. DeskRAT logra persistencia a través de servicios systemd, crontab, archivos de inicio automático y scripts bash. Se conecta mediante WebSocket no seguro a servidores C2 como seeconnectionalive[.]website y newforsomething[.]rest en el puerto 8080, enviando JSON inicial con metadatos falsos como versiones de Office codificadas de forma fija.
Los operadores acceden a un panel web para navegación de archivos, exfiltración de datos, comandos remotos y cargas de payloads. El momento aprovecha la inestabilidad, incluyendo protestas en Ladakh en septiembre de 2025 y marchas en Nueva Delhi en agosto de 2025, en la región geopolíticamente sensible de Ladakh, que limita con Pakistán y China.
Los analistas señalan el cambio de TransparentTribe hacia objetivos Linux como un aumento en la sofisticación, instando a filtrado de correos, endurecimiento de sistemas y monitoreo para las redes de defensa india.