Os ciberespiões do grupo APT36, do Paquistão, estão utilizando arquivos Linux .desktop para carregar malware em novos ataques contra entidades governamentais e de defesa na Índia.
A atividade, documentada em relatórios das empresas CYFIRMA e CloudSEK, tem como objetivo a exfiltração de dados e o acesso persistente para espionagem.
O APT36 já utilizava arquivos .desktop para carregar malware em operações de espionagem direcionadas na Ásia do Sul.
Os ataques foram detectados pela primeira vez em 1º de agosto de 2025 e, com base nas evidências mais recentes, continuam em andamento.
Embora os ataques descritos nos dois relatórios utilizem infraestruturas e amostras diferentes (identificadas por hashes distintos), as técnicas, táticas e procedimentos (TTPs), as cadeias de ataque e os objetivos aparentes são os mesmos.
As vítimas recebem arquivos ZIP por meio de e-mails de phishing contendo um arquivo .desktop malicioso disfarçado como um documento PDF e nomeado de forma condizente.
Os arquivos Linux .desktop são lançadores de aplicação baseados em texto, que contêm opções de configuração que determinam como o ambiente desktop deve exibir e executar uma aplicação.
Os usuários abrem o arquivo .desktop acreditando ser um PDF, o que faz com que um comando bash oculto no campo 'Exec=' crie um nome de arquivo temporário em '/tmp/', onde grava um payload codificado em hexadecimal, que é buscado no servidor do atacante ou no Google Drive.
Em seguida, o comando 'chmod +x' é executado para tornar o arquivo executável, que é iniciado em segundo plano.
Para diminuir suspeitas nas vítimas, o script também abre o Firefox para exibir um arquivo PDF inocente, usado como isca, hospedado no Google Drive.
Além da manipulação do campo 'Exec=' para executar uma sequência de comandos shell, os atacantes adicionaram campos como 'Terminal=false' para ocultar a janela do terminal do usuário e 'X-GNOME-Autostart-enabled=true' para executar o arquivo a cada login.
Normalmente, arquivos .desktop no Linux são atalhos em texto simples que definem um ícone, nome e comando a ser executado quando o usuário clica neles.
No entanto, nos ataques do APT36, os invasores abusam desse mecanismo de lançador para transformá-lo essencialmente em um dropper de malware e sistema de estabelecimento de persistência, de maneira semelhante ao abuso dos atalhos 'LNK' no Windows.
Como os arquivos .desktop no Linux são tipicamente texto e não binários, e seu uso malicioso não é amplamente documentado, as ferramentas de segurança na plataforma tendem a não monitorá-los como possíveis ameaças.
O payload entregue pelo arquivo .desktop malformado neste caso é um executável ELF baseado em Go, que realiza funções de espionagem.
Apesar do uso de packing e técnicas de obfuscação que dificultaram a análise, os pesquisadores descobriram que ele pode ser configurado para permanecer oculto ou tentar estabelecer persistência separada usando cron jobs e serviços systemd.
A comunicação com o C2 (Command and Control) é realizada via canal WebSocket bidirecional, permitindo a exfiltração de dados e a execução remota de comandos.
Ambas as empresas de cibersegurança consideram essa campanha mais recente um sinal da evolução das táticas do APT36, que estão se tornando cada vez mais evasivas e sofisticadas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...