Une tribu transparente du Pakistan attaque la défense indienne avec un malware Linux

Une opération de cyberespionnage sophistiquée, vraisemblablement menée par un groupe connu sous le nom d' APT36 (également appelé Transparent Tribe ), cible désormais le personnel et les organisations de défense indiens. Ce groupe basé au Pakistan cible les systèmes exécutant BOSS Linux (Bharat Operating System Solutions), une distribution Linux indienne basée sur Debian, couramment utilisée par les agences gouvernementales indiennes.

Cela marque une nouvelle étape dans leurs attaques, puisqu'ils utilisent désormais un logiciel malveillant spécialement conçu pour les environnements Linux. Cette menace a été signalée par la société de cybersécurité Cyfirma, et les conclusions ont été partagées avec Hackread.com.

Les chercheurs de Cyfirma ont observé cette nouvelle attaque pour la première fois le 7 juin 2025. D'après leurs recherches , les attaquants utilisent des e-mails de phishing astucieux pour piéger leurs cibles. Ces e-mails contiennent un fichier compressé, généralement un fichier ZIP archivé « Cyber-Security-Advisory.zip », qui contient un fichier malveillant « .desktop », un raccourci utilisé sous Linux.

Lorsqu'une victime ouvre ce raccourci, deux événements se produisent simultanément. Premièrement, pour créer une diversion, un fichier PowerPoint d'apparence normale apparaît, semblant distraire l'utilisateur et donner une impression de légitimité à l'attaque. Pour ce faire, le fichier .desktop télécharge puis ouvre secrètement le fichier PowerPoint.

Deuxièmement, en arrière-plan, un autre programme malveillant (nommé BOSS.elf , enregistré localement sous client.elf ) est téléchargé et exécuté secrètement. Ce programme caché est un binaire ELF (Executable and Linkable Format), un format de fichier standard pour les programmes exécutables sous Linux, tout comme un fichier .exe sous Windows. Il est écrit en langage de programmation Go et sert de charge utile principale conçue pour compromettre le système hôte et faciliter les accès non autorisés.

Le logiciel malveillant tente également de se connecter à un serveur de contrôle à l'adresse IP 101.99.92.182 sur port 12520 Il est important de noter que le domaine sorlastore.com a été identifié par des chercheurs en sécurité comme une infrastructure malveillante activement utilisée par APT36, notamment contre le personnel et les systèmes du secteur de la défense indien.

Cette attaque en plusieurs étapes est conçue pour contourner les contrôles de sécurité et passer inaperçue, permettant ainsi aux attaquants de conserver l'accès aux systèmes informatiques sensibles. L'utilisation de logiciels malveillants spécifiquement conçus pour Linux montre que les capacités d'APT36 se développent, représentant un danger accru pour les réseaux informatiques vitaux du gouvernement et de la défense.

Hackread.com surveille attentivement les activités de la Tribu Transparente depuis son apparition. Elle s'est fait connaître avec l'opération C-Major en mars 2016, qui a utilisé le spear-phishing et une vulnérabilité d'Adobe Reader pour diffuser des logiciels espions aux employés de l'armée indienne et voler les identifiants de connexion de ses responsables via une application Android malveillante appelée SmeshApp.

Plus récemment, en juillet 2024, le groupe a été observé en train de déguiser le logiciel espion Android CapraRAT en applications mobiles populaires telles que « Crazy Games » et « TikTok » pour voler des données. Cette dernière campagne témoigne d'une extension de ses cibles au-delà du personnel militaire et souligne également son engagement continu envers les cibles indiennes et son approche adaptable pour exploiter diverses plateformes.

Par conséquent, les organisations, en particulier celles du secteur public utilisant des systèmes Linux, sont invitées à prendre cette menace très au sérieux. Des mesures de cybersécurité et des outils de détection des menaces performants sont essentiels pour se protéger contre ces attaques en constante évolution.

« Même une présentation PowerPoint a le pouvoir d'aider à automatiser, mais elle ne devrait le faire que lorsque vous savez qu'elle est légitime » , a souligné Jason Soroko , Senior Fellow chez Sectigo, un fournisseur basé à Scottsdale, en Arizona, de gestion complète du cycle de vie des certificats (CLM).

« La prévention est améliorée lorsque les images BOSS Linux désactivent l'exécution automatique des raccourcis bureau et appliquent des listes d'autorisation d'applications qui limitent l'exécution en dehors des dépôts signés. » « Les visionneuses PowerPoint doivent s'ouvrir en lecture seule et les téléchargements provenant de réseaux non fiables doivent être bloqués. La segmentation Zero Trust isole un poste de travail compromis des enclaves confidentielles » , a conseillé Jason.