Nova Délhi – O grupo de ciberespionagem paquistanês Transparent Tribe (APT36) foi flagrado em agosto e setembro de 2025 executando uma série de ataques de spear phishing contra órgãos do governo da Índia para distribuir o malware DeskRAT, desenvolvido em Golang.
De acordo com a empresa francesa de segurança Sekoia, os criminosos enviaram e-mails contendo arquivos ZIP anexados – ou links para arquivos hospedados no Google Drive – que, uma vez abertos, extraíam um arquivo Desktop malicioso. O artefato exibia o PDF de isca “CDS_Directive_Armed_Forces.pdf” no navegador Firefox e, simultaneamente, baixava o payload principal a partir do domínio externo “modgovindia[.]com”.
O alvo da campanha são estações que rodam o sistema operacional BOSS (Bharat Operating System Solutions) Linux. Após a infecção, o DeskRAT estabelece comunicação de comando e controle (C2) via WebSockets e mantém persistência de quatro maneiras: criação de serviço systemd, agendamento de tarefa cron, inclusão no diretório de autoinicialização do usuário ($HOME/.config/autostart) e modificação do arquivo .bashrc com um script salvo em “$HOME/.config/system-backup/”.
Funções do DeskRAT
O trojan oferece cinco comandos:
- ping – envia carimbo de data/hora ao servidor e recebe “pong”;
- heartbeat – transmite sinal de vida com heartbeat_response e horário;
- browse_files – lista diretórios;
- start_collection – procura e exfiltra arquivos com extensões pré-definidas de até 100 MB;
- upload_execute – deposita e executa payloads adicionais em Python, shell ou Desktop.
A infraestrutura C2, descrita pela Sekoia como “servidores stealth”, não exibe registros NS públicos, dificultando o rastreamento. Diferentemente de campanhas anteriores que usavam Google Drive, o APT36 passou a hospedar os arquivos maliciosos em servidores próprios.
Versões para Windows e Linux
Relatório da QiAnXin XLab revelou que o mesmo ator distribui um backdoor em Go chamado StealthServer contra máquinas Windows, também por meio de anexos Desktop maliciosos. Três variantes foram identificadas em 2025:
- Windows-V1 (julho) – antianálise avançada, persistência com tarefas agendadas, script PowerShell na pasta Inicializar e alterações no Registro; comunicação via TCP;
- Windows-V2 (fim de agosto) – novos mecanismos antidebug (OllyDbg, x64dbg, IDA); funções mantidas;
- Windows-V3 (fim de agosto) – migra para WebSocket, com funcionalidades equivalentes às do DeskRAT.
Para Linux, foram detectados dois variantes adicionais: uma idêntica ao DeskRAT, acrescida do comando “welcome”, e outra que utiliza HTTP em vez de WebSocket, capaz de percorrer o sistema desde a raiz e enviar arquivos criptografados via POST para “modgovindia[.]space:4000”. Especialistas sugerem que esta versão seja o protótipo do DeskRAT atual.
Imagem: Internet
Outros clusters de ameaças na região
Pesquisadores também registraram ofensivas de outros grupos com foco no sul e leste da Ásia nos últimos meses:
- Bitter APT – e-mails maliciosos contra setores governamentais, elétricos e militares na China e no Paquistão, explorando a falha CVE-2025-8088 para instalar o implante “cayote.log” em C#;
- SideWinder – operação “SouthNet” voltada ao setor marítimo e a organizações no Paquistão, Sri Lanka, Bangladesh, Nepal e Mianmar, com portais de coleta de credenciais e malware multiplataforma;
- OceanLotus – distribuição do framework pós-exploração Havoc contra empresas e agências públicas na China e em países vizinhos do Sudeste Asiático;
- Mysterious Elephant – desde o início de 2025, uso de kits de exploração, e-mails de phishing e documentos maliciosos para comprometer governos no Paquistão, Afeganistão, Bangladesh, Nepal, Índia e Sri Lanka, recorrendo a ferramentas próprias como BabShell, MemLoader HidenDesk e MemLoader Edge.
Além do roubo de documentos, vários desses agentes concentram esforços em extrair conversas do WhatsApp e dados do navegador Chrome, utilizando módulos como Uplo Exfiltrator, Stom Exfiltrator e ChromeStealer Exfiltrator.
Pesquisadores destacam que o APT36, ativo desde 2013, mostra evolução constante no uso de artefatos personalizados, ritmo acelerado de campanhas e adaptação a múltiplas plataformas, mantendo-se como uma das principais ameaças ao governo indiano.
Com informações de The Hacker News
