パキスタン関連のハッキンググループTransparentTribeは、サイバー諜報活動をエスカレートさせ、インド軍組織のLinuxベースシステムを新しいGolangベースのリモートアクセストロイの木馬DeskRATで標的にした。このキャンペーンは2025年6月まで遡り、洗練されたフィッシング戦術を使用してマルウェアを配信する。この進展は、地域的な緊張の中でグループの進化する技術的能力を強調している。
TransparentTribeは、パキスタンに結びついた侵入グループで、少なくとも2013年以来活動しており、インドの防衛目標に対する作戦を強化した。このキャンペーンは2025年7月にCYFIRMAによって最初に文書化され、初期活動は2025年6月に遡る。Sekoiaのアナリストは後に2025年8月と9月に更新されたサンプルを特定し、グループが検知を回避するために洗練した進化した感染チェーンを明らかにした。
攻撃は、「MoM_regarding_Defence_Sectors_by_Secy_Defence」などの名前で偽装されたZIPアーカイブを含むフィッシングメールから始まる。アーカイブの抽出により、正当なPDFのように見えるDESKTOPファイルが得られ、PDFアイコンが付いている。実行されると、このファイルは高度な難読化を使用する:悪意あるBashコマンドは、数千行のコメント付きPNG画像データ内に隠され、キーセクション[Desktop Entry]はこのデータの大きなブロック間に埋め込まれている。
Bashのワンライナーは、タイムスタンプを使用して/tmp/ディレクトリに一意のファイル名を作成し、次にcurlを使用してリモートステージングサーバーからエンコードされたバイナリをダウンロードする。ペイロードはxxdによる16進変換とBase64復号化を経て、evalで実行される。欺瞞を維持するため、Firefoxは攻撃者のサーバーからダミーのPDFを開き、マルウェアのインストールを隠す。
クロスプラットフォーム互換性のためにGolangで書かれたDeskRATは、コマンドとコントロールのためのWebSocket接続を介して永続的なアクセスを確立する。インフラはGoogle DriveなどのサービスでのZIPファイルのホスティングから専用のステージングサーバーへの移行を示し、運用セキュリティの改善を示している。Sekoiaはこれらの活動を検知するためのYARAルールを導入し、他のベンダーには未知のサンプルを発見し、インド軍Linux環境でのTransparentTribeの防御を上回る努力を強調している。