Kelompok ancaman yang terkait dengan Pakistan, TransparentTribe, telah meluncurkan kampanye phishing sejak Juni 2025 untuk menyebarkan malware DeskRAT berbasis Golang pada sistem Linux di jaringan pertahanan India. Serangan ini mengeksploitasi BOSS Linux melalui file ZIP berbahaya yang disamarkan sebagai dokumen resmi. Perusahaan keamanan siber CYFIRMA dan Sekoia.io telah menganalisis operasi tersebut, menyoroti hubungannya dengan kerusuhan regional.
Kampanye ini, yang dikaitkan dengan TransparentTribe (juga dikenal sebagai APT36 atau Operation C-Major), dimulai pada Juni 2025 dan ditemukan oleh CYFIRMA pada Juli 2025. Kelompok yang berbasis di Pakistan ini, aktif sejak setidaknya 2013, fokus pada spionase siber yang mendukung kepentingan strategis terhadap India.
Email phishing mengirimkan arsip ZIP, seperti 'Cyber-Security-Advisory.zip' atau 'MoM_regarding_Defence_Sectors_by_Secy_Defence_25_Sep_2025.zip', yang berisi file .desktop yang dimodifikasi untuk BOSS Linux, sistem operasi yang didukung pemerintah India. Saat dieksekusi, file-file ini memicu perintah satu baris Bash yang menggunakan alat bawaan seperti curl, base64, dan eval untuk mengunduh muatan terenkode dari domain termasuk modgovindia[.]com. Muatan didekodekan ke direktori /tmp/, mendapatkan izin eksekusi, dan berjalan secara diam-diam di latar belakang sambil membuka PDF pengalih perhatian—seperti 'CDS_Directive_Armed_Forces.pdf'—di Firefox untuk mengalihkan perhatian pengguna.
Iterasi sebelumnya bergantung pada tautan Google Drive, tetapi serangan terbaru beralih ke server staging khusus untuk stealth yang lebih baik. Perintah disembunyikan di antara data PNG yang dikomentari, meskipun ketergantungan pada xxd (tidak default di BOSS Linux) dapat menyebabkan kegagalan eksekusi.
Tujuannya adalah DeskRAT, trojan akses jarak jauh modular berbasis Golang dengan nama fungsi deskriptif yang menunjukkan bantuan model bahasa besar. Sampelnya (MD5: 3563518ef8389c7c7ac2a80984a2c4cd) termasuk rutinitas penghindaran yang tidak digunakan. DeskRAT mencapai persistensi melalui layanan systemd, crontab, file autostart, dan skrip bash. Ia terhubung melalui WebSocket tidak aman ke server C2 seperti seeconnectionalive[.]website dan newforsomething[.]rest pada port 8080, mengirimkan JSON awal dengan metadata palsu seperti versi Office yang dikodekan secara keras.
Operator mengakses dasbor berbasis web untuk penelusuran file, ekstraksi data, perintah jarak jauh, dan unggahan muatan. Waktu serangan memanfaatkan kerusuhan, termasuk protes Ladakh pada September 2025 dan pawai New Delhi pada Agustus 2025, di wilayah Ladakh yang sensitif secara geopolitik yang berbatasan dengan Pakistan dan China.
Analis mencatat pergeseran TransparentTribe ke target Linux sebagai peningkatan kecanggihan, mendesak penyaringan email, penguatan sistem, dan pemantauan untuk jaringan pertahanan India.