Den pakistanskopplade hackargruppen TransparentTribe har eskalerat sin cyberespionage genom att rikta in sig på Linux-baserade system i indiska militära organisationer med en ny Golang-baserad fjärråtkomsttrojan vid namn DeskRAT. Kampanjen, som spåras tillbaka till juni 2025, använder sofistikerade phishing-taktiker för att leverera skadlig kod. Denna utveckling belyser gruppens framsteg i tekniska förmågor mitt i regionala spänningar.
TransparentTribe, en intrångsgrupp kopplad till Pakistan och aktiv sedan åtminstone 2013, har intensifierat sina operationer mot indiska försvarsmål. Kampanjen dokumenterades först av CYFIRMA i juli 2025, med initial aktivitet som dateras till juni 2025. Sekoia-analytiker identifierade senare uppdaterade prover i augusti och september 2025, vilket avslöjar en utvecklad infektionskedja som gruppen har förfinat för att undvika detektion.
Attackerna börjar med phishing-mejl som innehåller ZIP-arkiv förklädda med namn som ”MoM_regarding_Defence_Sectors_by_Secy_Defence”. Extrahering av arkivet ger en DESKTOP-fil som ser ut som en legitim PDF, komplett med PDF-ikon. Vid körning använder filen avancerad obfuskering: skadliga Bash-kommandon är dolda inom tusentals rader av kommenterad PNG-bilddata, med den nyckelsektionen [Desktop Entry] begravd mellan stora block av denna data.
Bash-enradskommandot skapar ett unikt filnamn i /tmp/-katalogen med en tidsstämpel, och använder sedan curl för att ladda ner en kodad binär från en avlägsen staging-server. Lasten genomgår hexadecimal konvertering via xxd och Base64-avkodning innan körning genom eval. För att upprätthålla bedrägeriet öppnar Firefox en lock-PDF från attackernas server, vilket maskerar installationen av skadlig kod.
DeskRAT, skriven i Golang för plattformsövergripande kompatibilitet, etablerar ihållande åtkomst via WebSocket-anslutningar för kommando och kontroll. Infrastrukturen har skiftat från att vara värd för ZIP-filer på tjänster som Google Drive till dedikerade staging-servrar, vilket visar förbättrad operativ säkerhet. Sekoia implementerade YARA-regler för att upptäcka dessa aktiviteter, och avslöjade prover okända för andra leverantörer, vilket understryker TransparentTribes ansträngningar att överträffa försvar i indiska militära Linux-miljöer.