APT36 (Transparent Tribe) atakuje indyjskie instytucje rządowe

Kampania obserwowana w sierpniu i wrześniu 2025 eskaluje: APT36 (Transparent Tribe) używa wieloplatformowego backdoora napisanego w Go (DeskRAT/StealthServer), aby kompromitować systemy rządowe. Payloady są rozsyłane zarówno przez Google Drive, jak i przez własne serwery stagingowe.

Grupa APT36 (Transparent Tribe) prowadzi nową kampanię przeciwko indyjskim instytucjom rządowym. Atak zaczyna się od fałszywych maili z archiwami ZIP lub linkami do Google Drive. W środku znajduje się plik .desktop, który wyświetla podrobiony dokument PDF, a w tle uruchamia złośliwe oprogramowanie DeskRAT.

DeskRAT to backdoor napisany w Golang, działający głównie na systemach BOSS Linux. Pozwala przeglądać katalogi, kraść pliki (do 100 MB) i pobierać kolejne moduły. Utrwala się w systemie m.in. przez systemd, cron, autostart i [poprawka z „oraz” → „i” dla spójności] modyfikację pliku .bashrc.

Malware łączy się z serwerami kontroli przez WebSocket, korzystając z domen takich jak modgovindia[.]com czy modgovindia[.]space:4000. Istnieją też wersje dla Windows (StealthServer V1–V3), które działają podobnie, ale mają dodatkowe zabezpieczenia przed analizą.

Eksperci z Sekoia i QiAnXin XLab podkreślają, że Transparent Tribe coraz częściej używa własnych, zaawansowanych narzędzi i prowadzi regularne kampanie szpiegowskie.

Źródła:
Sekoia
The Hacker News

Tagi

Popularne

Palo Alto Networks ofiarą łańcuchowego ataku na Salesforce
Chaos w Waszyngtonie blokuje wymianę informacji o cyberatakatach
Witamy na Sentry News
Cloudflare blokuje rekordowy atak DDoS – 11,5 Tbps