Se ha observado que un actor de amenazas del nexo con Pakistán apunta a entidades gubernamentales de la India como parte de ataques de phishing diseñados para entregar un malware basado en Golang conocido como EscritorioRAT.
la actividad, observado en agosto y septiembre de 2025 por Sekoia, se ha atribuido a Tribu transparente (también conocido como APT36), un grupo de piratería patrocinado por el estado que se sabe que está activo desde al menos 2013. También se basa en una campaña anterior. revelado por CYFIRMA en agosto de 2025.
Las cadenas de ataque implican el envío de correos electrónicos de phishing que contienen un archivo ZIP adjunto o, en algunos casos, un enlace que apunta a un archivo alojado en servicios legítimos en la nube como Google Drive. Dentro del archivo ZIP hay un archivo de escritorio malicioso que incorpora comandos para mostrar un PDF señuelo («CDS_Directive_Armed_Forces.pdf») usando Mozilla Firefox mientras se ejecuta simultáneamente la carga útil principal.
Ambos artefactos se extraen de un servidor externo «modgovindia[.]com») y ejecutarlo. Como antes, la campaña está diseñada para apuntar a sistemas Linux BOSS (Bharat Operating System Solutions), con el troyano de acceso remoto capaz de establecer comando y control (C2) usando WebSockets.
El malware admite cuatro métodos diferentes de persistencia, incluida la creación de un servicio systemd, la configuración de una tarea cron, la adición del malware al directorio de inicio automático de Linux ($HOME/.config/autostart) y la configuración de .bashrc para iniciar el troyano mediante un script de shell escrito en el directorio «$HOME/.config/system-backup/».
DeskRAT admite cinco comandos diferentes:
- silbidopara enviar un mensaje JSON con la marca de tiempo actual, junto con «pong» al servidor C2
- latido del corazónpara enviar un mensaje JSON que contenga heartbeat_response y una marca de tiempo
- explorar_archivospara enviar listados de directorio
- inicio_colecciónpara buscar y enviar archivos que coincidan con un conjunto predefinido de extensiones y que tengan un tamaño inferior a 100 MB
- subir_ejecutarpara soltar una carga útil adicional de Python, shell o escritorio y ejecutarla
«Los servidores C2 de DeskRAT se denominan servidores sigilosos», dijo la empresa francesa de ciberseguridad. «En este contexto, un servidor oculto se refiere a un servidor de nombres que no aparece en ningún registro NS visible públicamente para el dominio asociado».
«Si bien las campañas iniciales aprovecharon plataformas legítimas de almacenamiento en la nube, como Google Drive, para distribuir cargas útiles maliciosas, TransparentTribe ahora ha pasado a utilizar servidores de prueba dedicados».
Los hallazgos siguen a un informe de QiAnXin XLab, que detallado La campaña está dirigida a terminales de Windows con una puerta trasera Golang que rastrea como StealthServer a través de correos electrónicos de phishing que contienen archivos adjuntos de escritorio con trampas explosivas, lo que sugiere un enfoque multiplataforma.
Vale la pena señalar que StealthServer para Windows viene en tres variantes:
- StealthServer Windows-V1 (Observado en julio de 2025), que emplea varias técnicas antianálisis y antidepuración para evitar la detección; establece persistencia mediante tareas programadas, un script de PowerShell agregado a la carpeta de Inicio de Windows y cambios en el Registro de Windows; y utiliza TCP para comunicarse con el servidor C2 para enumerar archivos y cargar/descargar archivos específicos
- StealthServer Windows-V2 (Observado a finales de agosto de 2025), que agrega nuevas comprobaciones antidepuración para herramientas como OllyDbg, x64dbg e IDA, manteniendo la funcionalidad intacta.
- StealthServer Windows-V3 (Observado a finales de agosto de 2025), que utiliza WebSocket para la comunicación y tiene la misma funcionalidad que DeskRAT
XLab dijo que también observó dos variantes de Linux de StealthServer, una de las cuales es DeskRAT con soporte para un comando adicional llamado «bienvenido». La segunda versión de Linux, por otro lado, utiliza HTTP para las comunicaciones C2 en lugar de WebSocket. Cuenta con tres comandos:
- navegarpara enumerar archivos en un directorio específico
- subirpara cargar un archivo específico
- ejecutarpara ejecutar un comando bash
También busca recursivamente archivos que coincidan con un conjunto de extensiones directamente desde el directorio raíz («https://thehackernews.com/») y luego los transmite cuando los encuentra en un formato cifrado a través de una solicitud HTTP POST a «modgovindia[.]space:4000.» Esto indica que la variante de Linux podría haber sido una versión anterior de DeskRAT, ya que este último cuenta con un comando «start_collection» dedicado para extraer archivos.
«Las operaciones del grupo son frecuentes y se caracterizan por una amplia variedad de herramientas, numerosas variantes y una alta cadencia de entrega», dijo QiAnXin XLab.
Ataques de otros grupos de amenazas del sur y el este de Asia
El desarrollo se produce en medio del descubrimiento de varias campañas orquestadas por actores de amenazas centrados en el sur de Asia en las últimas semanas.
- A campaña de phishing realizado por APT amargo dirigidos a los sectores gubernamental, de energía eléctrica y militar en China y Pakistán con archivos adjuntos maliciosos de Microsoft Excel o archivos RAR que explotan CVE-2025-8088 para finalmente eliminar un implante de C# llamado «cayote.log» que puede recopilar información del sistema y ejecutar ejecutables arbitrarios recibidos de un servidor controlado por un atacante.
- A nueva ola de actividad dirigida realizado por enrollador lateral apuntar el sector marítimo y otros sectores verticales en Pakistán, Sri Lanka, Bangladesh, Nepal y Myanmar con portales de recolección de credenciales y documentos señuelo armados que entregan malware multiplataforma como parte de una campaña «concentrada» cuyo nombre en código es Operación SouthNet.
- Un ataque campaña llevado a cabo por un grupo de hackers alineado con Vietnam conocido como océanoloto (también conocido como APT-Q-31) que ofrece el Estragos marco posterior a la explotación en ataques dirigidos a empresas y departamentos gubernamentales en China y los países vecinos del Sudeste Asiático.
- Un campaña de ataque realizado por Elefante misterioso a principios de 2025 que utiliza una combinación de kits de explotación, correos electrónicos de phishing y documentos maliciosos para obtener acceso inicial a entidades gubernamentales y sectores de asuntos exteriores en Pakistán, Afganistán, Bangladesh, Nepal, India y Sri Lanka utilizando un script de PowerShell que descarga BabShell (un shell inverso de C++), que luego lanza MemLoader HidenDesk (un cargador que ejecuta un Remcos carga útil RAT en la memoria) y MemLoader Edge (otro cargador malicioso que incorpora VRat, una variante del RAT vxRat de código abierto).
En particular, estas intrusiones también se han centrado en extraer las comunicaciones de WhatsApp de los hosts comprometidos utilizando una serie de módulos (a saber, Uplo Exfiltrator y Stom Exfiltrator) que se dedican a capturar varios archivos intercambiados a través de la popular plataforma de mensajería.
Otra herramienta utilizada por el actor de amenazas es ChromeStealer Exfiltrator, que, como su nombre lo indica, es capaz de recolectar cookies, tokens y otra información confidencial de Google Chrome, así como desviar archivos relacionados con WhatsApp.
La divulgación muestra una imagen de un grupo de hackers que ha evolucionado más allá de depender de herramientas de otros actores de amenazas hasta convertirse en una operación de amenazas sofisticada, empuñando su propio arsenal de malware personalizado. Se sabe que el adversario comparte superposiciones tácticas con Elefante De Origami, Confucioy SideWinder, todos los cuales se considera que operan teniendo en cuenta los intereses de la India.
«Mysterious Elephant es un grupo de Amenaza Persistente Avanzada altamente sofisticado y activo que representa una amenaza significativa para las entidades gubernamentales y los sectores de asuntos exteriores en la región de Asia y el Pacífico», dijo Kaspesky. «El uso de herramientas personalizadas y de código abierto, como BabShell y MemLoader, resalta su experiencia técnica y su voluntad de invertir en el desarrollo de malware avanzado».
Fuente