В августе и сентябре 2025 года французская компания по кибербезопасности Sekoia зафиксировала новую кампанию кибершпионажа, нацеленную на правительственные учреждения Индии. Ответственность за атаки возлагается на связанную с Пакистаном хакерскую группировку APT36, также известную как Transparent Tribe. Эта группа, действующая как минимум с 2013 года, использовала новую тактику, что подтверждает более раннее раскрытие информации от компании CYFIRMA в августе 2025 года.
Атака начинается с целевых фишинговых писем. Жертва получает либо вложение в виде ZIP-архива, либо ссылку на его скачивание с легитимных облачных сервисов, таких как Google Drive. Архив содержит вредоносный Desktop-файл. При его запуске одновременно происходят два действия: для отвлечения внимания с помощью браузера Mozilla Firefox открывается поддельный PDF-документ под названием "CDS_Directive_Armed_Forces.pdf", в то время как в фоновом режиме с внешнего сервера загружается и выполняется основной вредоносный код. Все артефакты загружаются с домена
Ключевым инструментом кампании стал новый троян удаленного доступа (RAT), написанный на языке Go и получивший название DeskRAT. Его главная особенность — нацеленность на операционные системы BOSS (Bharat Operating System Solutions) Linux, которые используются в индийском государственном секторе. Для связи с командным сервером (C2) вредонос использует протокол WebSockets, что усложняет его обнаружение.
Для обеспечения своего присутствия в скомпрометированной системе DeskRAT применяет четыре различных метода закрепления. Он может создать службу
Троян поддерживает пять основных команд. Команды
Исследователи из QiAnXin XLab обнаружили связанные с DeskRAT варианты вредоносного ПО для Windows и Linux, распространяемые через так называемые "stealth servers" — серверы, не указанные в публичных записях домена. Первая версия для Windows, StealthServer Windows-V1, замеченная в июле 2025 года, использовала TCP для связи и применяла техники противодействия анализу. В конце августа 2025 года появились версии V2 с улучшенной защитой от отладчиков (OllyDbg, x64dbg, IDA) и V3, которая, как и DeskRAT, перешла на WebSockets и имела идентичный функционал.
Вариант StealthServer для Linux по сути является копией DeskRAT, но с одной дополнительной командой
Действия APT36 являются частью более широкой картины киберконфликтов в Южной и Восточной Азии. Например, группировка Bitter APT атакует правительственные, энергетические и военные секторы Китая и Пакистана. Они используют фишинг с вредоносными файлами Excel или RAR-архивами, эксплуатируя уязвимость CVE-2025-8088 для доставки импланта "cayote.log", написанного на C.
Другой заметный участник, группировка SideWinder, проводит кампанию под кодовым названием "Operation SouthNet". Ее целями являются морской сектор и другие организации в Пакистане, Шри-Ланке, Бангладеш, Непале и Мьянме. В арсенале группы — порталы для кражи учетных данных и зараженные документы, доставляющие мультиплатформенное вредоносное ПО. В то же время связанная с Вьетнамом группа OceanLotus (APT-Q-31) атакует предприятия и госучреждения в Китае и соседних странах Юго-Восточной Азии, используя фреймворк для постэксплуатации Havoc.
Особого внимания заслуживает группировка Mysterious Elephant (APT-K-47). В начале 2025 года она провела серию атак на правительственные и дипломатические ведомства в Пакистане, Афганистане, Бангладеш, Непале, Индии и Шри-Ланке. Их цепочка заражения начинается со скрипта PowerShell, который загружает реверс-шелл BabShell (написан на C++). Далее BabShell запускает загрузчик MemLoader HidenDesk, который исполняет в памяти Remcos RAT, и одновременно второй загрузчик MemLoader Edge, внедряющий VRat — вариант известного vxRat.
Основной целью Mysterious Elephant является сбор данных из мессенджера WhatsApp на скомпрометированных устройствах. Для этого они используют специализированные инструменты: Uplo Exfiltrator и Stom Exfiltrator для перехвата файлов из WhatsApp, а также ChromeStealer Exfiltrator, который похищает cookie-файлы и токены из Google Chrome и извлекает связанные с WhatsApp данные.
Тактика Mysterious Elephant пересекается с методами таких групп, как Origami Elephant, Confucius и SideWinder. Аналитики Kaspersky оценивают эту группировку как «высококвалифицированную и активную», обладающую значительным техническим опытом и способную разрабатывать собственное уникальное вредоносное ПО.
Изображение носит иллюстративный характер
Атака начинается с целевых фишинговых писем. Жертва получает либо вложение в виде ZIP-архива, либо ссылку на его скачивание с легитимных облачных сервисов, таких как Google Drive. Архив содержит вредоносный Desktop-файл. При его запуске одновременно происходят два действия: для отвлечения внимания с помощью браузера Mozilla Firefox открывается поддельный PDF-документ под названием "CDS_Directive_Armed_Forces.pdf", в то время как в фоновом режиме с внешнего сервера загружается и выполняется основной вредоносный код. Все артефакты загружаются с домена
modgovindia[.]com. Ключевым инструментом кампании стал новый троян удаленного доступа (RAT), написанный на языке Go и получивший название DeskRAT. Его главная особенность — нацеленность на операционные системы BOSS (Bharat Operating System Solutions) Linux, которые используются в индийском государственном секторе. Для связи с командным сервером (C2) вредонос использует протокол WebSockets, что усложняет его обнаружение.
Для обеспечения своего присутствия в скомпрометированной системе DeskRAT применяет четыре различных метода закрепления. Он может создать службу
systemd, настроить задание в cron, добавить себя в каталог автозапуска Linux ($HOME/.config/autostart) или изменить файл .bashrc для запуска через скрипт, размещенный в каталоге $HOME/.config/system-backup/. Троян поддерживает пять основных команд. Команды
ping и heartbeat используются для проверки связи с C2-сервером. Команда browse_files отправляет хакерам списки файлов и каталогов на зараженном устройстве. Команда start_collection ищет и похищает файлы с определенными расширениями, размер которых не превышает 100 МБ. Наконец, upload_execute позволяет загружать и запускать дополнительные вредоносные модули, написанные на Python, в виде shell-скриптов или desktop-файлов. Исследователи из QiAnXin XLab обнаружили связанные с DeskRAT варианты вредоносного ПО для Windows и Linux, распространяемые через так называемые "stealth servers" — серверы, не указанные в публичных записях домена. Первая версия для Windows, StealthServer Windows-V1, замеченная в июле 2025 года, использовала TCP для связи и применяла техники противодействия анализу. В конце августа 2025 года появились версии V2 с улучшенной защитой от отладчиков (OllyDbg, x64dbg, IDA) и V3, которая, как и DeskRAT, перешла на WebSockets и имела идентичный функционал.
Вариант StealthServer для Linux по сути является копией DeskRAT, но с одной дополнительной командой
welcome. Была также найдена его более ранняя итерация, которая использовала протокол HTTP для связи с C2-сервером modgovindia[.]space:4000. Этот ранний вариант обладал лишь тремя командами: browse (просмотр файлов), upload (загрузка файлов) и execute (выполнение bash-команд). Для хищения данных он рекурсивно сканировал всю файловую систему, начиная с корневого каталога (/), шифровал найденные файлы и отправлял их на сервер через HTTP POST-запрос. Действия APT36 являются частью более широкой картины киберконфликтов в Южной и Восточной Азии. Например, группировка Bitter APT атакует правительственные, энергетические и военные секторы Китая и Пакистана. Они используют фишинг с вредоносными файлами Excel или RAR-архивами, эксплуатируя уязвимость CVE-2025-8088 для доставки импланта "cayote.log", написанного на C.
Другой заметный участник, группировка SideWinder, проводит кампанию под кодовым названием "Operation SouthNet". Ее целями являются морской сектор и другие организации в Пакистане, Шри-Ланке, Бангладеш, Непале и Мьянме. В арсенале группы — порталы для кражи учетных данных и зараженные документы, доставляющие мультиплатформенное вредоносное ПО. В то же время связанная с Вьетнамом группа OceanLotus (APT-Q-31) атакует предприятия и госучреждения в Китае и соседних странах Юго-Восточной Азии, используя фреймворк для постэксплуатации Havoc.
Особого внимания заслуживает группировка Mysterious Elephant (APT-K-47). В начале 2025 года она провела серию атак на правительственные и дипломатические ведомства в Пакистане, Афганистане, Бангладеш, Непале, Индии и Шри-Ланке. Их цепочка заражения начинается со скрипта PowerShell, который загружает реверс-шелл BabShell (написан на C++). Далее BabShell запускает загрузчик MemLoader HidenDesk, который исполняет в памяти Remcos RAT, и одновременно второй загрузчик MemLoader Edge, внедряющий VRat — вариант известного vxRat.
Основной целью Mysterious Elephant является сбор данных из мессенджера WhatsApp на скомпрометированных устройствах. Для этого они используют специализированные инструменты: Uplo Exfiltrator и Stom Exfiltrator для перехвата файлов из WhatsApp, а также ChromeStealer Exfiltrator, который похищает cookie-файлы и токены из Google Chrome и извлекает связанные с WhatsApp данные.
Тактика Mysterious Elephant пересекается с методами таких групп, как Origami Elephant, Confucius и SideWinder. Аналитики Kaspersky оценивают эту группировку как «высококвалифицированную и активную», обладающую значительным техническим опытом и способную разрабатывать собственное уникальное вредоносное ПО.
