Le groupe de menaces lié au Pakistan, TransparentTribe, a lancé une campagne de phishing depuis juin 2025 pour déployer le malware DeskRAT basé sur Golang sur des systèmes Linux dans les réseaux de défense indiens. Les attaques exploitent BOSS Linux via des fichiers ZIP malveillants déguisés en documents officiels. Les entreprises de cybersécurité CYFIRMA et Sekoia.io ont analysé l'opération, soulignant ses liens avec les troubles régionaux.
La campagne, attribuée à TransparentTribe (également connu sous le nom d'APT36 ou Operation C-Major), a commencé en juin 2025 et a été découverte par CYFIRMA en juillet 2025. Ce groupe lié au Pakistan, actif depuis au moins 2013, se concentre sur l'espionnage cybernétique soutenant des intérêts stratégiques contre l'Inde.
Les e-mails de phishing livrent des archives ZIP, telles que 'Cyber-Security-Advisory.zip' ou 'MoM_regarding_Defence_Sectors_by_Secy_Defence_25_Sep_2025.zip', contenant des fichiers .desktop armés adaptés à BOSS Linux, le système d'exploitation approuvé par le gouvernement indien. Lors de l'exécution, ces fichiers déclenchent des commandes Bash en une ligne qui utilisent des outils intégrés comme curl, base64 et eval pour télécharger des charges codées depuis des domaines incluant modgovindia[.]com. La charge est décodée dans le répertoire /tmp/, obtient des permissions d'exécution et s'exécute silencieusement en arrière-plan tout en ouvrant un PDF leurre —comme 'CDS_Directive_Armed_Forces.pdf'— dans Firefox pour distraire les utilisateurs.
Les itérations précédentes s'appuyaient sur des liens Google Drive, mais les attaques récentes passent à des serveurs de staging dédiés pour une meilleure discrétion. Les commandes sont cachées parmi des données PNG commentées, bien que la dépendance à xxd (non par défaut sur BOSS Linux) puisse causer des échecs d'exécution.
La cible finale est DeskRAT, un cheval de Troie d'accès à distance modulaire en Golang avec des noms de fonctions descriptifs suggérant une assistance de modèle de langage large. Son échantillon (MD5: 3563518ef8389c7c7ac2a80984a2c4cd) inclut des routines d'évasion inutilisées. DeskRAT assure la persistance via des services systemd, crontab, fichiers d'autodémarrage et scripts bash. Il se connecte via WebSocket non sécurisé à des serveurs C2 comme seeconnectionalive[.]website et newforsomething[.]rest sur le port 8080, envoyant un JSON initial avec des métadonnées falsifiées comme des versions d'Office codées en dur.
Les opérateurs accèdent à un tableau de bord web pour la navigation de fichiers, l'exfiltration de données, les commandes à distance et les téléchargements de charges. Le timing exploite les troubles, y compris les protestations au Ladakh en septembre 2025 et les marches à New Delhi en août 2025, dans la région géopolitiquement sensible du Ladakh frontalière du Pakistan et de la Chine.
Les analystes notent le passage de TransparentTribe aux cibles Linux comme une augmentation de sophistication, exhortant à la filtration des e-mails, au durcissement des systèmes et à la surveillance pour les réseaux de défense indiens.