O grupo de ameaças ligado ao Paquistão, TransparentTribe, lançou uma campanha de phishing desde junho de 2025 para implantar o malware DeskRAT baseado em Golang em sistemas Linux nas redes de defesa indianas. Os ataques exploram o BOSS Linux por meio de arquivos ZIP maliciosos disfarçados de documentos oficiais. As empresas de cibersegurança CYFIRMA e Sekoia.io analisaram a operação, destacando seus laços com a instabilidade regional.
A campanha, atribuída ao TransparentTribe (também conhecido como APT36 ou Operation C-Major), começou em junho de 2025 e foi descoberta pela CYFIRMA em julho de 2025. Este grupo com nexos no Paquistão, ativo desde pelo menos 2013, foca em espionagem cibernética que apoia interesses estratégicos contra a Índia.
Emails de phishing entregam arquivos ZIP, como 'Cyber-Security-Advisory.zip' ou 'MoM_regarding_Defence_Sectors_by_Secy_Defence_25_Sep_2025.zip', contendo arquivos .desktop weaponizados adaptados para o BOSS Linux, o sistema operacional endossado pelo governo indiano. Ao serem executados, esses arquivos acionam comandos de uma linha em Bash que usam ferramentas integradas como curl, base64 e eval para baixar cargas codificadas de domínios incluindo modgovindia[.]com. A carga é decodificada no diretório /tmp/, ganha permissões de execução e roda silenciosamente em segundo plano enquanto abre um PDF isca —como 'CDS_Directive_Armed_Forces.pdf'— no Firefox para distrair os usuários.
Iterações anteriores dependiam de links do Google Drive, mas ataques recentes mudam para servidores de staging dedicados para maior discrição. Os comandos estão escondidos entre dados PNG comentados, embora a dependência de xxd (não padrão no BOSS Linux) possa causar falhas de execução.
O destino é o DeskRAT, um trojan de acesso remoto modular em Golang com nomes de funções descritivos sugerindo assistência de modelo de linguagem grande. Sua amostra (MD5: 3563518ef8389c7c7ac2a80984a2c4cd) inclui rotinas de evasão não usadas. O DeskRAT alcança persistência via serviços systemd, crontab, arquivos de inicialização automática e scripts bash. Ele se conecta via WebSocket não seguro a servidores C2 como seeconnectionalive[.]website e newforsomething[.]rest na porta 8080, enviando JSON inicial com metadados falsos como versões de Office codificadas rigidamente.
Operadores acessam um painel web para navegação de arquivos, exfiltração de dados, comandos remotos e uploads de cargas. O momento explora a instabilidade, incluindo protestos em Ladakh em setembro de 2025 e marchas em Nova Délhi em agosto de 2025, na região geopoliticamente sensível de Ladakh, que faz fronteira com Paquistão e China.
Analistas notam a mudança do TransparentTribe para alvos Linux como um aumento na sofisticação, instando filtragem de emails, endurecimento de sistemas e monitoramento para redes de defesa indianas.