Pakistans transparenter Stamm greift indische Verteidigung mit Linux-Malware an

Eine ausgeklügelte Cyberspionage-Operation, die vermutlich von der Gruppe APT36 (auch Transparent Tribe genannt) betrieben wird, zielt nun auf indisches Verteidigungspersonal und -organisationen ab. Die in Pakistan ansässige Gruppe hat es auf Systeme mit BOSS Linux (Bharat Operating System Solutions) abgesehen, einer indischen Linux-Distribution auf Debian-Basis, die häufig von indischen Regierungsbehörden verwendet wird.

Dies zeigt eine neue Stufe ihrer Angriffe, da sie nun Schadsoftware verwenden, die speziell für Linux-Umgebungen entwickelt wurde. Diese Bedrohung wurde vom Cybersicherheitsunternehmen Cyfirma gemeldet und die Ergebnisse mit Hackread.com geteilt.

Cyfirma-Forscher beobachteten diesen neuen Angriff erstmals am 7. Juni 2025. Ihren Untersuchungen zufolge nutzen die Angreifer raffinierte Phishing-E-Mails, um ihre Opfer zu täuschen. Diese E-Mails enthalten eine komprimierte Datei, typischerweise eine archivierte ZIP-Datei namens „Cyber-Security-Advisory.zip“, die eine schädliche „.desktop“-Datei enthält – im Wesentlichen eine Verknüpfung, die in Linux-Systemen verwendet wird.

Öffnet ein Opfer diese Verknüpfung, passieren zwei Dinge gleichzeitig. Zunächst wird zur Ablenkung eine normal aussehende PowerPoint-Datei angezeigt, die den Benutzer scheinbar ablenkt und den Angriff legitim erscheinen lässt. Dies wird dadurch erreicht, dass die .desktop Datei die PowerPoint-Datei heimlich herunterlädt und anschließend öffnet.

Zweitens wird im Hintergrund heimlich ein weiteres Schadprogramm (mit dem Namen BOSS.elf , lokal gespeichert als client.elf ) heruntergeladen und ausgeführt. Dieses versteckte Programm ist eine Binärdatei im Executable and Linkable Format (ELF), einem Standarddateiformat für ausführbare Programme unter Linux, ähnlich einer .exe Datei unter Windows. Es ist in der Programmiersprache Go geschrieben und dient als primäre Nutzlast, die das Hostsystem kompromittieren und unbefugten Zugriff ermöglichen soll.

Die Malware versucht außerdem, eine Verbindung zu einem Kontrollserver unter der IP-Adresse 101.99.92.182 auf port 12520 herzustellen. Es ist wichtig zu beachten, dass die Domäne sorlastore.com von Sicherheitsforschern als bösartige Infrastruktur identifiziert wurde, die aktiv von APT36 verwendet wird, insbesondere gegen Personal und Systeme im indischen Verteidigungssektor.

Dieser mehrstufige Angriff soll Sicherheitskontrollen umgehen und unbemerkt bleiben, sodass die Angreifer weiterhin Zugriff auf sensible Computersysteme haben. Der Einsatz speziell für Linux entwickelter Schadsoftware zeigt, dass die Fähigkeiten von APT36 zunehmen und eine zunehmende Gefahr für wichtige Computernetzwerke von Regierung und Verteidigung darstellen.

Hackread.com hat die Aktivitäten des Transparent Tribe seit seiner Entstehung aufmerksam beobachtet. Bekanntheit erlangte der Stamm durch die Operation C-Major im März 2016. Dabei nutzte er Spear-Phishing und eine Sicherheitslücke in Adobe Reader, um Spyware an indische Militärangehörige zu verteilen und über eine bösartige Android-App namens SmeshApp Anmeldedaten von indischen Armeeangehörigen zu stehlen.

Erst kürzlich, im Juli 2024, wurde die Gruppe dabei beobachtet , wie sie die Android-Spyware CapraRAT als beliebte mobile Apps wie „Crazy Games“ und „TikTok“ tarnte , um Daten zu stehlen. Diese jüngste Kampagne deutet darauf hin, dass ihre Ziele nicht nur auf Militärangehörige beschränkt sind, sondern auch ihr anhaltendes Engagement für indische Ziele und ihren flexiblen Ansatz zur Ausnutzung verschiedener Plattformen.

Daher werden Organisationen, insbesondere im öffentlichen Sektor, die Linux-basierte Systeme einsetzen, dringend gebeten, diese Bedrohung sehr ernst zu nehmen. Umfassende Cybersicherheitsmaßnahmen und Tools zur Bedrohungserkennung sind unerlässlich, um sich vor diesen sich entwickelnden Angriffen zu schützen.

„ Sogar eine PowerPoint-Präsentation kann zur Automatisierung beitragen, aber das sollte nur der Fall sein, wenn Sie sicher sind, dass sie legitim ist “ , betont Jason Soroko , Senior Fellow bei Sectigo, einem in Scottsdale, Arizona, ansässigen Anbieter von umfassendem Certificate Lifecycle Management (CLM).

„ Die Prävention verbessert sich, wenn BOSS-Linux-Images die automatische Ausführung von Desktop-Verknüpfungen deaktivieren und Anwendungs-Allow-Listen erzwingen, die die Ausführung außerhalb signierter Repositories einschränken. “ „ PowerPoint-Viewer sollten schreibgeschützt geöffnet werden, und Downloads aus nicht vertrauenswürdigen Netzwerken sollten in einem No-Execute-Mount landen. Zero-Trust-Segmentierung isoliert eine kompromittierte Workstation von vertraulichen Enklaven “, rät Jason.