Den Pakistan-kopplade hotgruppen TransparentTribe har startat en phishingkampanj sedan juni 2025 för att distribuera Golang-baserad DeskRAT-malware på Linux-system i indiska försvarsnätverk. Attackerna utnyttjar BOSS Linux genom skadliga ZIP-filer maskerade som officiella dokument. Cybersäkerhetsföretagen CYFIRMA och Sekoia.io har analyserat operationen och framhäver dess kopplingar till regional oro.
Kampanjen, som tillskrivs TransparentTribe (även känd som APT36 eller Operation C-Major), började i juni 2025 och upptäcktes av CYFIRMA i juli 2025. Denna Pakistan-baserade grupp, aktiv sedan åtminstone 2013, fokuserar på cyberespionage som stöder strategiska intressen mot Indien.
Phishing-mejl levererar ZIP-arkiv, såsom 'Cyber-Security-Advisory.zip' eller 'MoM_regarding_Defence_Sectors_by_Secy_Defence_25_Sep_2025.zip', som innehåller vapeniserade .desktop-filer anpassade för BOSS Linux, Indiens regeringsgodkända operativsystem. Vid körning utlöser dessa filer Bash-ettliners som använder inbyggda verktyg som curl, base64 och eval för att ladda ner kodade payloads från domäner inklusive modgovindia[.]com. Payloaden dekodas till /tmp/-katalogen, får exekveringsbehörigheter och körs tyst i bakgrunden medan en lock-PDF – såsom 'CDS_Directive_Armed_Forces.pdf' – öppnas i Firefox för att distrahera användare.
Tidigare iterationer använde Google Drive-länkar, men nyliga attacker flyttar till dedikerade staging-servrar för bättre stealth. Kommandona är dolda bland kommenterad PNG-data, även om beroendet av xxd (inte standard på BOSS Linux) kan orsaka körningsfel.
Slutmålet är DeskRAT, en modulär Golang-fjärråtkomsttrojan med beskrivande funktionsnamn som tyder på hjälp från stora språkmodeller. Dess prov (MD5: 3563518ef8389c7c7ac2a80984a2c4cd) inkluderar oanvända undvikanderutiner. DeskRAT uppnår persistens via systemd-tjänster, crontab, autostartfiler och bash-skript. Den ansluter via osäker WebSocket till C2-servrar som seeconnectionalive[.]website och newforsomething[.]rest på port 8080, och skickar initial JSON med falsk metadata som hårdkodade Office-versioner.
Operatörer får tillgång till en webbaserad instrumentpanel för filbläddring, dataexfiltrering, fjärrkommandon och payload-laddningar. Tiden utnyttjar oroligheter, inklusive protester i Ladakh i september 2025 och marscher i New Delhi i augusti 2025, i den geopolitiskt känsliga Ladakh-regionen som gränsar till Pakistan och Kina.
Analytiker noterar TransparentTribes skifte till Linux-mål som en ökning i sofistikering och uppmanar till e-postfiltrering, systemhärdning och övervakning för indiska försvarsnätverk.