O grupo de hackers ligado ao Paquistão, TransparentTribe, escalou seu ciberespionagem ao mirar sistemas baseados em Linux em organizações militares indianas com um novo trojan de acesso remoto baseado em Golang chamado DeskRAT. A campanha, rastreada até junho de 2025, usa táticas sofisticadas de phishing para entregar o malware. Esse desenvolvimento destaca as capacidades técnicas avançadas do grupo em meio a tensões regionais.
TransparentTribe, um conjunto de intrusões ligado ao Paquistão e ativo desde pelo menos 2013, intensificou suas operações contra alvos de defesa indianos. A campanha foi documentada pela primeira vez pela CYFIRMA em julho de 2025, com atividade inicial datando de junho de 2025. Analistas da Sekoia identificaram posteriormente amostras atualizadas em agosto e setembro de 2025, revelando uma cadeia de infecção evoluída que o grupo refinou para evadir a detecção.
Os ataques começam com e-mails de phishing contendo arquivos ZIP disfarçados com nomes como “MoM_regarding_Defence_Sectors_by_Secy_Defence”. Extrair o arquivo resulta em um arquivo DESKTOP que parece um PDF legítimo, completo com um ícone de PDF. Ao ser executado, este arquivo emprega ofuscação avançada: comandos maliciosos Bash estão escondidos dentro de milhares de linhas de dados de imagem PNG comentados, com a seção chave [Desktop Entry] enterrada entre grandes blocos desses dados.
O comando Bash de uma linha cria um nome de arquivo único no diretório /tmp/ usando um carimbo de data/hora, depois usa curl para baixar um binário codificado de um servidor de staging remoto. A carga útil passa por conversão hexadecimal via xxd e descriptografia Base64 antes da execução via eval. Para manter o engano, o Firefox abre um PDF de isca do servidor dos atacantes, mascarando a instalação do malware.
DeskRAT, escrito em Golang para compatibilidade multiplataforma, estabelece acesso persistente via conexões WebSocket para comando e controle. A infraestrutura mudou de hospedar arquivos ZIP em serviços como Google Drive para servidores de staging dedicados, mostrando segurança operacional aprimorada. A Sekoia implementou regras YARA para detectar essas atividades, descobrindo amostras desconhecidas por outros fornecedores e sublinhando os esforços da TransparentTribe para superar defesas em ambientes Linux militares indianos.