Kelompok peretas yang terkait dengan Pakistan, TransparentTribe, telah meningkatkan mata-mata siber mereka dengan menargetkan sistem berbasis Linux di organisasi militer India menggunakan trojan akses jarak jauh berbasis Golang baru bernama DeskRAT. Kampanye ini, yang dilacak hingga Juni 2025, menggunakan taktik phishing canggih untuk mengirimkan malware. Perkembangan ini menyoroti kemampuan teknis kelompok yang semakin maju di tengah ketegangan regional.
TransparentTribe, sekumpulan intrusi yang terkait dengan Pakistan dan aktif sejak setidaknya 2013, telah mengintensifkan operasinya terhadap target pertahanan India. Kampanye ini pertama kali didokumentasikan oleh CYFIRMA pada Juli 2025, dengan aktivitas awal yang berasal dari Juni 2025. Analis Sekoia kemudian mengidentifikasi sampel yang diperbarui pada Agustus dan September 2025, mengungkapkan rantai infeksi yang berevolusi yang telah disempurnakan oleh kelompok untuk menghindari deteksi.
Serangan dimulai dengan email phishing yang berisi arsip ZIP yang disamarkan dengan nama seperti “MoM_regarding_Defence_Sectors_by_Secy_Defence”. Mengekstrak arsip menghasilkan file DESKTOP yang tampak seperti PDF sah, lengkap dengan ikon PDF. Saat dieksekusi, file ini menggunakan ofusikasi canggih: perintah Bash berbahaya disembunyikan di dalam ribuan baris data gambar PNG yang dikomentari, dengan bagian kunci [Desktop Entry] terkubur di antara blok besar data ini.
Perintah Bash satu baris membuat nama file unik di direktori /tmp/ menggunakan cap waktu, kemudian menggunakan curl untuk mengunduh biner terenkode dari server staging jarak jauh. Muatan menjalani konversi heksadesimal melalui xxd dan dekripsi Base64 sebelum dieksekusi melalui eval. Untuk mempertahankan penipuan, Firefox membuka PDF pengalih perhatian dari server penyerang, menyamarkan instalasi malware.
DeskRAT, yang ditulis dalam Golang untuk kompatibilitas lintas platform, membangun akses persisten melalui koneksi WebSocket untuk perintah dan kontrol. Infrastruktur telah bergeser dari hosting file ZIP di layanan seperti Google Drive ke server staging khusus, menunjukkan peningkatan keamanan operasional. Sekoia menerapkan aturan YARA untuk mendeteksi aktivitas ini, mengungkapkan sampel yang tidak diketahui oleh vendor lain dan menekankan upaya TransparentTribe untuk mengalahkan pertahanan di lingkungan Linux militer India.