Um grupo hacker ligado ao Paquistão vem direcionando ataques contra entidades governamentais indianas por meio de campanhas de spear-phishing, com o objetivo de distribuir um malware desenvolvido em Golang chamado DeskRAT.
Essa atividade, monitorada durante agosto e setembro de 2025 pela empresa Sekoia, foi atribuída ao Transparent Tribe (também conhecido como APT36), grupo financiado pelo Estado que atua desde pelo menos 2013.
A operação expande uma campanha anterior revelada pela CYFIRMA em agosto do mesmo ano.
Os ataques começam com o envio de e-mails de phishing contendo um arquivo ZIP anexado ou, em alguns casos, um link para um arquivo hospedado em serviços legítimos de nuvem, como o Google Drive.
Dentro do arquivo ZIP está um arquivo Desktop malicioso que executa comandos para exibir um PDF falso denominado “CDS_Directive_Armed_Forces.pdf” via Mozilla Firefox, enquanto simultaneamente roda o payload principal.
Ambos os artefatos são baixados de um servidor externo (“modgovindia[.]com”) e executados.
A campanha é projetada para atingir sistemas Linux que utilizam o BOSS (Bharat Operating System Solutions).
O trojan de acesso remoto (RAT) é capaz de se comunicar com seu servidor de comando e controle (C2) por meio de WebSockets.
Para garantir persistência, o malware oferece quatro métodos diferentes.
Ele pode criar um serviço systemd, configurar um cron job, adicionar-se ao diretório de autostart do Linux ($HOME/.config/autostart) ou modificar o arquivo .bashrc para ser iniciado via script shell gravado em "$HOME/.config/system-backup/".
O DeskRAT suporta cinco comandos principais:
- **ping**: envia uma mensagem JSON com o timestamp atual, respondendo com um “pong” para o servidor C2.
- **heartbeat**: envia uma mensagem JSON contendo “heartbeat_response” e o timestamp.
- **browse_files**: envia listas de diretórios.
- **start_collection**: localiza e envia arquivos com extensões predefinidas e tamanho inferior a 100 MB.
- **upload_execute**: instala e executa payloads adicionais escritos em Python, shell script ou desktop.
Segundo a empresa francesa de cibersegurança Sekoia, os servidores C2 do DeskRAT são chamados de “stealth servers”.
Esses servidores são definidos como servidores de nomes (name servers) que não aparecem nos registros NS públicos do domínio associado.
"Enquanto as campanhas iniciais usavam plataformas legítimas de armazenamento em nuvem, como o Google Drive, o Transparent Tribe migrou para servidores de staging dedicados", explicou a Sekoia.
O grupo QiAnXin XLab também publicou relatório detalhando uma campanha paralela focada em endpoints Windows.
Essa campanha utiliza um backdoor Golang denominado StealthServer, distribuído por e-mails phishing com anexos Desktop armadilhados, indicando foco multiplataforma.
Existem três variantes do StealthServer para Windows:
- **V1 (julho de 2025)**: emprega técnicas anti-análise e anti-debug para evitar detecção.
Utiliza tarefas agendadas, scripts PowerShell na pasta Startup e alterações no Registro do Windows para persistência.
Comunicação TCP é usada para interagir com o C2, permitindo listar arquivos e fazer upload/download.
- **V2 (final de agosto de 2025)**: adiciona checagens anti-debug para ferramentas como OllyDbg, x64dbg e IDA, mantendo a funcionalidade da versão anterior.
- **V3 (final de agosto de 2025)**: utiliza WebSocket para comunicação, com funcionalidades semelhantes às do DeskRAT.
O QiAnXin XLab também identificou duas variantes Linux do StealthServer.
Uma delas é o DeskRAT, que inclui um comando extra chamado “welcome”.
A outra utiliza HTTP para comunicação C2, em vez de WebSocket, e suporta três comandos básicos: listar arquivos, enviar arquivos e executar comandos bash.
Essa versão realiza buscas recursivas por arquivos a partir do diretório raiz (“/”), transmitindo-os criptografados via requisição HTTP POST para “modgovindia[.]space:4000”.
Isso sugere que essa variante Linux seja uma versão anterior do DeskRAT, que agora disponibiliza o comando “start_collection” para exfiltrar dados.
Segundo o QiAnXin XLab, “as operações do grupo são frequentes e caracterizadas por ampla variedade de ferramentas, diversas variantes e alta cadência de entregas”.
### Ataques de Outros Grupos na Ásia do Sul e Leste Asiático
Paralelamente, foram detectadas várias campanhas recentes de atores de ameaça focados na Ásia do Sul:
- O **Bitter APT** realizou uma campanha de phishing direcionada aos setores governamentais, de energia elétrica e militares na China e no Paquistão.
Utilizaram anexos maliciosos em Microsoft Excel e arquivos RAR para explorar a vulnerabilidade
CVE-2025-8088
, instalando um implant em C# chamado “cayote.log”, capaz de coletar informações do sistema e executar comandos arbitrários recebidos de servidores controlados pelos atacantes.
- O grupo **SideWinder** lançou uma nova onda de ataques focados no setor marítimo e outros mercados em países como Paquistão, Sri Lanka, Bangladesh, Nepal e Myanmar.
A ação é baseada em portais para captura de credenciais e documentos armadilhados que distribuem malware multiplataforma na campanha denominada Operation SouthNet.
- O coletivo alinhado ao Vietnã, **OceanLotus (APT-Q-31)**, lançou ataques contra empresas e órgãos governamentais da China e de países vizinhos no Sudeste Asiático, utilizando o framework de pós-exploração Havoc.
- O grupo **Mysterious Elephant** executou uma campanha no início de 2025 combinando kits de exploit, phishing e documentos maliciosos para invasão inicial em entidades governamentais e setores de relações exteriores no Paquistão, Afeganistão, Bangladesh, Nepal, Índia e Sri Lanka.
Eles usaram scripts PowerShell para instalar o BabShell, um shell reverso em C++, que carrega os loaders maliciosos MemLoader HiddenDesk e MemLoader Edge — ambos executam payloads do RAT Remcos e sua variante VRat em memória.
Esses ataques também focaram na exfiltração de comunicações do WhatsApp de máquinas comprometidas, por meio dos módulos Uplo Exfiltrator e Stom Exfiltrator, dedicados a capturar diversos arquivos compartilhados no aplicativo.
Outra ferramenta destacada é o ChromeStealer Exfiltrator, capaz de coletar cookies, tokens e outras informações sensíveis do navegador Google Chrome, além de arquivos relacionados ao WhatsApp.
Essas descobertas indicam que o grupo evoluiu do uso de ferramentas alheias para uma operação sofisticada, com arsenal próprio de malwares customizados.
Eles compartilham táticas com outros grupos, como Origami Elephant, Confucius e SideWinder, todos com interesses voltados à Índia.
O especialista da Kaspersky afirmou: “Mysterious Elephant é um grupo APT altamente sofisticado e ativo, que representa ameaça significativa para entidades governamentais e setores de relações exteriores na região Ásia-Pacífico.
O uso de ferramentas personalizadas e open source como BabShell e MemLoader evidencia a expertise técnica e o investimento no desenvolvimento de malwares avançados”.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...