Tribo Transparente do Paquistão ataca a defesa indiana com malware Linux

Uma sofisticada operação de espionagem cibernética, que se acredita ser comandada por um grupo conhecido como APT36 (também conhecido como Transparent Tribe ), está agora visando funcionários e organizações de defesa da Índia. Este grupo, sediado no Paquistão, tem como alvo sistemas que executam BOSS Linux (Bharat Operating System Solutions), uma distribuição Linux indiana baseada no Debian, comumente usada por agências governamentais indianas.

Isso representa um novo passo em seus ataques, já que agora utilizam software malicioso desenvolvido especificamente para ambientes Linux. Essa ameaça foi relatada pela empresa de segurança cibernética Cyfirma, e as descobertas foram compartilhadas com o Hackread.com.

Os pesquisadores da Cyfirma observaram esse novo ataque pela primeira vez em 7 de junho de 2025. De acordo com a pesquisa , os invasores estão usando e-mails de phishing astutos para enganar seus alvos. Esses e-mails vêm com um arquivo compactado, normalmente um arquivo ZIP "Cyber-Security-Advisory.zip", que contém um arquivo ".desktop" nocivo – essencialmente um atalho usado em sistemas Linux.

Quando uma vítima abre esse atalho, duas coisas acontecem ao mesmo tempo. Primeiro, para criar uma distração, um arquivo de PowerPoint de aparência normal aparece, aparentemente para distrair o usuário e fazer o ataque parecer legítimo. Isso é feito pelo arquivo .desktop que baixa secretamente e, em seguida, abre o arquivo de PowerPoint.

Em segundo lugar, em segundo plano, outro programa malicioso (chamado BOSS.elf , salvo localmente como client.elf ) é baixado e executado secretamente. Este programa oculto é um binário no Formato Executável e Linkável (ELF), que é um formato de arquivo padrão para programas executáveis ​​no Linux, assim como um arquivo .exe no Windows. Ele é escrito na linguagem de programação Go e serve como carga primária projetada para comprometer o sistema host e facilitar o acesso não autorizado.

O malware também tenta se conectar a um servidor de controle no endereço IP 101.99.92.182 na port 12520 É importante observar que o domínio sorlastore.com foi identificado por pesquisadores de segurança como uma infraestrutura maliciosa usada ativamente pelo APT36, particularmente contra pessoal e sistemas dentro do setor de defesa indiano.

Este ataque em várias etapas foi projetado para passar por verificações de segurança e evitar ser notado, permitindo que os invasores mantenham acesso a sistemas de computador sensíveis. O uso de malware desenvolvido especificamente para Linux demonstra que as capacidades do APT36 estão crescendo, representando um perigo ainda maior para redes de computadores vitais do governo e da defesa.

O Hackread.com monitora diligentemente as atividades da Tribo Transparente desde seu surgimento. Eles ganharam destaque com a Operação C-Major em março de 2016, que utilizou spear-phishing e uma vulnerabilidade do Adobe Reader para distribuir spyware a funcionários militares indianos e roubar dados de login de oficiais do exército indiano por meio de um aplicativo malicioso para Android chamado SmeshApp.

Mais recentemente, em julho de 2024, o grupo foi observado disfarçando o spyware para Android CapraRAT como aplicativos móveis populares como "Crazy Games" e "TikTok" para roubar dados. Esta campanha mais recente indica uma expansão de seus alvos para além de militares e também destaca sua dedicação contínua a alvos indianos e sua abordagem adaptável para explorar diversas plataformas.

Portanto, organizações, especialmente aquelas do setor público que utilizam sistemas baseados em Linux, são incentivadas a levar essa ameaça muito a sério. Medidas robustas de segurança cibernética e ferramentas de detecção de ameaças são cruciais para a proteção contra esses ataques em constante evolução.

“ Até mesmo uma apresentação do PowerPoint tem o poder de ajudar a automatizar, mas isso só deve ser feito quando você sabe que é legítima ” , enfatizou Jason Soroko , pesquisador sênior da Sectigo, uma provedora de gerenciamento abrangente do ciclo de vida de certificados (CLM) sediada em Scottsdale, Arizona.

“ A prevenção melhora quando as imagens do BOSS Linux desabilitam a execução automática de atalhos na área de trabalho e impõem listas de permissão de aplicativos que limitam o que é executado fora dos repositórios assinados ” , “ Os visualizadores do PowerPoint devem abrir em modo somente leitura e os downloads de redes não confiáveis ​​devem ser colocados em uma montagem sem execução. A segmentação de confiança zero mantém uma estação de trabalho comprometida isolada de enclaves confidenciais ” , aconselhou Jason.