La tribù trasparente del Pakistan attacca la difesa indiana con un malware Linux

Una sofisticata operazione di spionaggio informatico, che si ritiene sia gestita da un gruppo noto come APT36 (anche chiamato Transparent Tribe ), sta prendendo di mira personale e organizzazioni della difesa indiana. Questo gruppo, con sede in Pakistan, sta prendendo di mira i sistemi che eseguono BOSS Linux (Bharat Operating System Solutions), una distribuzione Linux indiana basata su Debian comunemente utilizzata dalle agenzie governative indiane.

Questo rappresenta un nuovo passo avanti nei loro attacchi, poiché ora utilizzano software dannoso progettato specificamente per gli ambienti Linux. Questa minaccia è stata segnalata dall'azienda di sicurezza informatica Cyfirma e i risultati sono stati condivisi con Hackread.com.

I ricercatori di Cyfirma hanno osservato per la prima volta questo nuovo attacco il 7 giugno 2025. Secondo la loro ricerca , gli aggressori utilizzano astute email di phishing per ingannare i loro obiettivi. Queste email contengono un file compresso, in genere un file ZIP archiviato denominato "Cyber-Security-Advisory.zip", che contiene un file dannoso con estensione ".desktop", essenzialmente una scorciatoia utilizzata nei sistemi Linux.

Quando una vittima apre questo collegamento, accadono due cose contemporaneamente. Innanzitutto, per creare un diversivo, viene visualizzato un file PowerPoint dall'aspetto normale, apparentemente per distrarre l'utente e far sembrare l'attacco legittimo. Questo risultato viene ottenuto scaricando e aprendo segretamente il file PowerPoint dal file .desktop .

In secondo luogo, in background, un altro programma dannoso (denominato BOSS.elf , salvato localmente come client.elf ) viene scaricato ed eseguito segretamente. Questo programma nascosto è un binario in formato ELF (Executable and Linkable Format), un formato di file standard per i programmi eseguibili su Linux, proprio come un file .exe su Windows. È scritto nel linguaggio di programmazione Go e funge da payload primario progettato per compromettere il sistema host e facilitare l'accesso non autorizzato.

Il malware tenta anche di connettersi a un server di controllo all'indirizzo IP 101.99.92.182 sulla port 12520 È importante notare che il dominio sorlastore.com è stato identificato dai ricercatori di sicurezza come infrastruttura dannosa utilizzata attivamente da APT36, in particolare contro personale e sistemi del settore della difesa indiano.

Questo attacco in più fasi è progettato per eludere i controlli di sicurezza e non essere individuato, consentendo agli aggressori di mantenere l'accesso a sistemi informatici sensibili. L'utilizzo di malware specificamente sviluppato per Linux dimostra che le potenzialità di APT36 sono in crescita, rappresentando un pericolo sempre maggiore per le reti informatiche vitali di enti governativi e di difesa.

Hackread.com ha monitorato attentamente le attività della Tribù Trasparente fin dalla sua nascita. La sua notorietà è aumentata con l'Operazione C-Major del marzo 2016, che ha sfruttato lo spear-phishing e una vulnerabilità di Adobe Reader per distribuire spyware ai dipendenti militari indiani e rubare le credenziali di accesso ai funzionari dell'esercito indiano tramite un'app Android dannosa chiamata SmeshApp.

Più recentemente, nel luglio 2024, il gruppo è stato osservato mentre camuffava lo spyware Android CapraRAT con app mobili popolari come "Crazy Games" e "TikTok" per rubare dati. Quest'ultima campagna indica un'espansione dei loro obiettivi oltre il personale militare e mette in luce anche la loro costante dedizione agli obiettivi indiani e il loro approccio adattabile allo sfruttamento di diverse piattaforme.

Pertanto, le organizzazioni, in particolare quelle del settore pubblico che utilizzano sistemi basati su Linux, sono invitate a prendere molto sul serio questa minaccia. Solide misure di sicurezza informatica e strumenti di rilevamento delle minacce sono fondamentali per proteggersi da questi attacchi in continua evoluzione.

" Anche una presentazione PowerPoint ha il potere di aiutare nell'automazione, ma dovrebbe farlo solo quando si sa che è legittima " , ha sottolineato Jason Soroko , Senior Fellow presso Sectigo, un fornitore di servizi di gestione completa del ciclo di vita dei certificati (CLM) con sede a Scottsdale, Arizona.

" La prevenzione migliora quando le immagini BOSS Linux disabilitano l'esecuzione automatica dei collegamenti sul desktop e impongono elenchi di applicazioni consentite che limitano ciò che viene eseguito al di fuori dei repository firmati " , ha consigliato Jason. " I visualizzatori di PowerPoint dovrebbero aprirsi in modalità di sola lettura e i download da reti non attendibili dovrebbero essere eseguiti in un mount non eseguibile. La segmentazione zero trust mantiene una workstation compromessa isolata dalle enclave classificate " .