TransparentTribe DeskRAT kampány
A Sekoia.io jelentése szerint a TransparentTribe (APT36), Pakisztánhoz köthető hackercsoport 2025 augusztusában és szeptemberében egy új, DeskRAT nevű káros programmal támadta az indiai katonai szervezeteket. Ez a csoport legalább 2013 óta aktív, és hagyományosan indiai kormányzati, katonai és védelmi célpontokat támad, általában kémkedési célokkal.
A legújabb kampány során a támadók spear-phishing e-maileket használtak, amelyekben egy ártalmas ZIP fájlt küldtek vagy tettek elérhetővé egy link segítségével. Amikor a célszemély megnyitotta a ZIP fájlt, egy Bash parancs-sorozat indult el, amely letöltötte, dekódolta és futtatta a káros bináris fájlt, miközben egy álca PDF-dokumentumot mutatott a felhasználónak, hogy ne keltsen gyanút. A DeskRAT egy Golang nyelven írt RAT, amely WebSocket kapcsolatot létesít a támadók vezérlő szervereivel. Ez lehetővé teszi a támadók számára, hogy távoli parancsokat hajtsanak végre a fertőzött gépen, valamint keressenek és kinyerjenek fájlokat.
A korábbi támadásoktól eltérően, ahol a csoport legitim felhőszolgáltatókat, például a Google Drive-ot használta a káros kód terjesztésére, most már saját, dedikált szervereket alkalmaznak, ami növeli a lopakodás és a kontroll lehetőségét. Ez a változás azt mutatja, hogy a csoport folyamatosan fejleszti eszközeit és taktikáit, hogy nehezebben legyenek észrevehetők és blokkolhatók.
A DeskRAT különösen Linux rendszereket céloz, főleg az indiai kormányzat által használt BOSS Linux disztribúciót, ami stratégiai irányváltásra utal. A káros program képes a célgépen található fájlok automatikus keresésére és titkosított formában való továbbítására a támadók szervereire, ami komoly adatvesztéshez és biztonsági kockázatokhoz vezethet. A kutatók szerint a csoport mesterséges intelligencia eszközöket is alkalmaz a káros szoftverek gyorsabb fejlesztésére és terjesztésére, ami nehezíti a védekező oldal munkáját.
A támadók folyamatosan fejlesztik a káros programot és a vezérlő szervereket, új változatok és doménnevek megjelenésével. Ez azt jelzi, hogy a csoport aktívan dolgozik azon, hogy elkerülje az észlelést és hatékonyabbá tegye támadásaikat. A DeskRAT komoly kockázatot jelent az indiai katonai és kormányzati rendszerek számára, ezért fontossá válik a felhasználói tudatosítás, a rendszerfrissítések, a hálózati forgalom monitorozása, valamint a modern endpoint védelmi megoldások alkalmazása.
