La Tribu Transparente de Pakistán ataca las defensas indias con malware para Linux.

Una sofisticada operación de ciberespionaje, presuntamente dirigida por un grupo conocido como APT36 (también conocido como la Tribu Transparente ), tiene como objetivo personal y organizaciones de defensa de la India. Este grupo, con sede en Pakistán, tiene como objetivo sistemas que ejecutan BOSS Linux (Bharat Operating System Solutions), una distribución india de Linux basada en Debian, comúnmente utilizada por agencias gubernamentales indias.

Esto demuestra un nuevo paso en sus ataques, ya que ahora utilizan software malicioso diseñado específicamente para entornos Linux. Esta amenaza fue reportada por la firma de ciberseguridad Cyfirma y los hallazgos fueron compartidos con Hackread.com.

Los investigadores de Cyfirma observaron por primera vez este nuevo ataque el 7 de junio de 2025. Según su investigación , los atacantes utilizan correos electrónicos de phishing astutos para engañar a sus víctimas. Estos correos incluyen un archivo comprimido, generalmente un archivo ZIP "Cyber-Security-Advisory.zip", que contiene un archivo dañino ".desktop", básicamente un acceso directo utilizado en sistemas Linux.

Cuando una víctima abre este acceso directo, ocurren dos cosas a la vez. Primero, para distraer al usuario, aparece un archivo de PowerPoint de aspecto normal, aparentemente para distraerlo y hacer que el ataque parezca legítimo. Esto se logra mediante la descarga y la apertura en secreto del archivo .desktop .

En segundo lugar, en segundo plano, se descarga y ejecuta secretamente otro programa malicioso (llamado BOSS.elf , guardado localmente como client.elf ). Este programa oculto es un binario de formato ejecutable y enlazable (ELF), un formato de archivo estándar para programas ejecutables en Linux, al igual que un archivo .exe en Windows. Está escrito en el lenguaje de programación Go y actúa como la carga útil principal diseñada para comprometer el sistema host y facilitar el acceso no autorizado.

El malware también intenta conectarse a un servidor de control en la dirección IP 101.99.92.182 del port 12520 Cabe destacar que investigadores de seguridad han identificado el dominio sorlastore.com como una infraestructura maliciosa utilizada activamente por APT36, especialmente contra personal y sistemas del sector de defensa indio.

Este ataque de varios pasos está diseñado para evadir los controles de seguridad y pasar desapercibido, lo que permite a los atacantes mantener el acceso a sistemas informáticos sensibles. El uso de malware diseñado específicamente para Linux demuestra que las capacidades de APT36 están creciendo, lo que representa un mayor peligro para las redes informáticas vitales del gobierno y la defensa.

Hackread.com ha monitoreado diligentemente las actividades de la Tribu Transparente desde su aparición. Cobró relevancia con la Operación C-Major en marzo de 2016, que utilizó phishing selectivo y una vulnerabilidad de Adobe Reader para distribuir software espía a empleados militares indios y robar datos de acceso a oficiales del ejército indio mediante una aplicación maliciosa para Android llamada SmeshApp.

Más recientemente, en julio de 2024, se observó al grupo disfrazando el software espía para Android CapraRAT como aplicaciones móviles populares como "Crazy Games" y "TikTok" para robar datos. Esta última campaña indica una expansión de sus objetivos más allá del personal militar y también pone de relieve su continua dedicación a objetivos indios y su enfoque adaptable para explotar diversas plataformas.

Por lo tanto, se insta a las organizaciones, especialmente a las del sector público que utilizan sistemas basados ​​en Linux, a tomar esta amenaza muy en serio. Es fundamental contar con sólidas medidas de ciberseguridad y herramientas de detección de amenazas para protegerse contra estos ataques en constante evolución.

“ Incluso una presentación de PowerPoint tiene el poder de ayudar a automatizar, pero solo debería hacerlo cuando se sabe que es legítima ” , enfatizó Jason Soroko , miembro sénior de Sectigo, un proveedor con sede en Scottsdale, Arizona, de gestión integral del ciclo de vida de certificados (CLM).

La prevención mejora cuando las imágenes de BOSS Linux deshabilitan la ejecución automática de accesos directos del escritorio e implementan listas de aplicaciones permitidas que limitan lo que se ejecuta fuera de los repositorios firmados. Los visores de PowerPoint deberían abrirse en modo de solo lectura y las descargas de redes no confiables deberían ejecutarse en un montaje sin ejecución. La segmentación de confianza cero mantiene una estación de trabajo comprometida aislada de los enclaves clasificados , aconsejó Jason.