パキスタン関連の脅威グループTransparentTribeは、2025年6月以降、インドの防衛ネットワーク内のLinuxシステムにGolangベースのDeskRATマルウェアを展開するためのフィッシングキャンペーンを開始しました。攻撃は、公式文書に偽装した悪意あるZIPファイルを通じてBOSS Linuxを悪用します。サイバーセキュリティ企業CYFIRMAとSekoia.ioがこの作戦を分析し、地域の不安定さとのつながりを強調しています。
このキャンペーンは、TransparentTribe(APT36またはOperation C-Majorとしても知られる)に帰属し、2025年6月に開始され、2025年7月にCYFIRMAによって発見されました。このパキスタン関連のグループは、少なくとも2013年以来活動しており、インドに対する戦略的利益を支援するサイバー諜報に焦点を当てています。
フィッシングメールは、'Cyber-Security-Advisory.zip'や'MoM_regarding_Defence_Sectors_by_Secy_Defence_25_Sep_2025.zip'などのZIPアーカイブを配信し、インド政府が承認したOSであるBOSS Linux向けに調整されたweaponized .desktopファイルを含んでいます。実行されると、これらのファイルはcurl、base64、evalなどの組み込みツールを使用したBashのワンライナーをトリガーし、modgovindia[.]comなどのドメインからエンコードされたペイロードをダウンロードします。ペイロードは/tmp/ディレクトリにデコードされ、実行権限を取得し、バックグラウンドで静かに実行されながら、Firefoxで' CDS_Directive_Armed_Forces.pdf'などのデコイPDFを開いてユーザーを欺きます。
以前のバージョンはGoogle Driveリンクに依存していましたが、最近の攻撃はより隠密性を高めるために専用のstagingサーバーに移行しています。コマンドはコメントされたPNGデータの中に隠されていますが、BOSS Linuxでデフォルトでないxxdへの依存が実行失敗を引き起こす可能性があります。
最終目標はDeskRATで、大規模言語モデル支援を示唆する記述的な関数名を持つモジュラーGolangリモートアクセストロイの木馬です。そのサンプル(MD5: 3563518ef8389c7c7ac2a80984a2c4cd)には未使用の回避ルーチンが含まれています。DeskRATはsystemdサービス、crontab、autostartファイル、bashスクリプト経由で永続性を達成します。ポート8080のseeconnectionalive[.]websiteやnewforsomething[.]restなどのC2サーバーに非セキュアWebSocketで接続し、ハードコードされたOfficeバージョンのような偽のメタデータを含む初期JSONを送信します。
オペレーターはウェブベースのダッシュボードにアクセスしてファイル閲覧、データ抽出、リモートコマンド、ペイロードアップロードを行います。タイミングは、パキスタンと中国に接する地政学的に敏感なラダック地域での2025年9月のラダック抗議や2025年8月のニューデリー行進などの不安定さを悪用しています。
アナリストは、TransparentTribeのLinuxターゲットへの移行を洗練度の向上と指摘し、インド防衛ネットワーク向けにメールフィルタリング、システム強化、監視を推奨しています。