Le groupe de piratage lié au Pakistan, TransparentTribe, a intensifié son cyberespionnage en ciblant des systèmes basés sur Linux dans les organisations militaires indiennes avec un nouveau cheval de Troie d'accès à distance basé sur Golang appelé DeskRAT. La campagne, remontant à juin 2025, utilise des tactiques sophistiquées de phishing pour délivrer le malware. Ce développement met en lumière les capacités techniques avancées du groupe au milieu des tensions régionales.
TransparentTribe, un ensemble d'intrusions lié au Pakistan et actif depuis au moins 2013, a intensifié ses opérations contre les cibles de défense indiennes. La campagne a été documentée pour la première fois par CYFIRMA en juillet 2025, avec une activité initiale datant de juin 2025. Les analystes de Sekoia ont ensuite identifié des échantillons mis à jour en août et septembre 2025, révélant une chaîne d'infection évoluée que le groupe a affinée pour échapper à la détection.
Les attaques commencent par des e-mails de phishing contenant des archives ZIP déguisées avec des noms comme « MoM_regarding_Defence_Sectors_by_Secy_Defence ». L'extraction de l'archive produit un fichier DESKTOP qui ressemble à un PDF légitime, avec une icône PDF. Lors de l'exécution, ce fichier utilise une obfuscation avancée : des commandes Bash malveillantes sont cachées au sein de milliers de lignes de données d'image PNG commentées, la section clé [Desktop Entry] étant enfouie entre de grands blocs de ces données.
La commande Bash en une ligne crée un nom de fichier unique dans le répertoire /tmp/ en utilisant un horodatage, puis utilise curl pour télécharger un binaire encodé depuis un serveur de mise en scène distant. La charge utile subit une conversion hexadécimale via xxd et un déchiffrement Base64 avant l'exécution via eval. Pour maintenir la tromperie, Firefox ouvre un PDF leurre depuis le serveur des attaquants, masquant l'installation du malware.
DeskRAT, écrit en Golang pour une compatibilité multiplateforme, établit un accès persistant via des connexions WebSocket pour le commandement et le contrôle. L'infrastructure est passée de l'hébergement de fichiers ZIP sur des services comme Google Drive à des serveurs de mise en scène dédiés, démontrant une sécurité opérationnelle améliorée. Sekoia a implémenté des règles YARA pour détecter ces activités, découvrant des échantillons inconnus des autres fournisseurs et soulignant les efforts de TransparentTribe pour surpasser les défenses dans les environnements Linux militaires indiens.