Se ha observado que un actor de amenazas con vínculos con Pakistán ataca a entidades gubernamentales de la India como parte de ataques de spear-phising diseñados para lanzar un malware basado en Golang conocido como Escritorio RAT .
La actividad, observado en agosto y septiembre de 2025 por Sekoia, se ha atribuido a Tribu transparente (también conocido como APT36), un grupo de hackers patrocinado por el estado que se sabe que está activo desde al menos 2013. También se basa en una campaña anterior divulgado por CYFIRMA en agosto de 2025.
Las cadenas de ataque implican el envío de correos electrónicos de suplantación de identidad que contienen un archivo ZIP adjunto o, en algunos casos, un enlace que apunta a un archivo alojado en servicios de nube legítimos como Google Drive. En el archivo ZIP hay un archivo de escritorio malintencionado que incorpora comandos para mostrar un PDF como señuelo (» CDS_Directive_Armed_Forces.pdf «) con Mozilla Firefox y, al mismo tiempo, ejecutar la carga principal.
Ambos artefactos se extraen de un servidor externo («modgovindia [.] com») y se ejecutan. Al igual que antes, la campaña está diseñada para los sistemas Linux BOSS (Bharat Operating System Solutions), y el troyano de acceso remoto es capaz de establecer el comando y el control (C2) mediante WebSockets.
El malware admite cuatro métodos diferentes de persistencia, como la creación de un servicio systemd, la configuración de un cron job, la adición del malware al directorio de inicio automático de Linux ($HOME/.config/autostart) y la configuración de .bashrc para iniciar el troyano mediante un script de shell escrito en el directorio «$HOME/.config/system-backup/».
DeskRAT admite cinco comandos diferentes -
- ping , para enviar un mensaje JSON con la marca de tiempo actual, junto con «pong» al servidor C2
- latido del corazón , para enviar un mensaje JSON que contenga heartbeat_response y una marca de tiempo
- navegar_archivos , para enviar listados de directorios
- iniciar colección , para buscar y enviar archivos que coincidan con un conjunto predefinido de extensiones y que tengan un tamaño inferior a 100 MB
- subir_ejecutar , para eliminar una carga útil adicional de Python, shell o escritorio y ejecutarla
«Los servidores C2 de DeskRat se denominan servidores sigilosos», dijo la empresa francesa de ciberseguridad. «En este contexto, un servidor sigiloso hace referencia a un servidor de nombres que no aparece en ningún registro NS visible públicamente del dominio asociado».
«Si bien las campañas iniciales aprovecharon plataformas legítimas de almacenamiento en la nube, como Google Drive, para distribuir cargas maliciosas, TransparentTribe ahora ha hecho la transición al uso de servidores de ensayo dedicados».
Los hallazgos siguen a un informe de QianXin XLab, que detallada la campaña se dirige a los puntos finales de Windows con una puerta trasera de Golang que rastrea como StealthServer a través de correos electrónicos de suplantación de identidad que contienen archivos adjuntos de escritorio con trampas explosivas, lo que sugiere un enfoque multiplataforma.
Vale la pena señalar que StealthServer para Windows viene en tres variantes:
- StealthServer Windows-V1 (Observado en julio de 2025), que emplea varias técnicas de antianálisis y antidepuración para evitar la detección; establece la persistencia mediante tareas programadas, un script de PowerShell agregado a la carpeta de inicio de Windows y cambios en el registro de Windows; y usa TCP para comunicarse con el servidor C2 a fin de enumerar archivos y cargar/descargar archivos específicos
- Stealth Server Windows-V2 (Observado a finales de agosto de 2025), que añade nuevas comprobaciones antidepuración para herramientas como OllyDbg, x64dbg e IDA, manteniendo la funcionalidad intacta
- Servidor Stealth Windows-V3 (Observado a finales de agosto de 2025), que utiliza WebSocket para la comunicación y tiene la misma funcionalidad que DeskRAT
xLab dijo que también observó dos variantes de StealthServer en Linux, una de las cuales es DeskRAT con soporte para un comando adicional llamado «welcome». La segunda versión de Linux, por otro lado, usa HTTP para las comunicaciones C2 en lugar de WebSocket. Cuenta con tres comandos:
- navegar , para enumerar los archivos de un directorio específico
- subida , para cargar un archivo específico
- desempeñar , para ejecutar un comando bash
También busca de forma recursiva archivos que coincidan con un conjunto de extensiones directamente desde el directorio raíz («/») y, a continuación, los transmite a medida que los encuentra en un formato cifrado mediante una solicitud HTTP POST a «modgovindia [.] space:4000». Esto indica que la variante de Linux podría haber sido una versión anterior de DeskRAT, ya que este último incluye un comando «start_collection» dedicado a filtrar archivos.
«Las operaciones del grupo son frecuentes y se caracterizan por una amplia variedad de herramientas, numerosas variantes y una alta cadencia de entrega», dijo QianXin xLab.
Ataques de otros grupos de amenazas del sur y este de Asia
La noticia se produce en medio del descubrimiento de varias campañas orquestadas por actores de amenazas centrados en el sur de Asia en las últimas semanas -
- UN campaña de phishing emprendido por APT amargo atacar a los sectores gubernamental, eléctrico y militar de China y Pakistán con archivos adjuntos maliciosos de Microsoft Excel o archivos RAR que explotan CVE-2025-8088 para, en última instancia, eliminar un implante de C# llamado "cayote.log" que puede recopilar información del sistema y ejecutar ejecutables arbitrarios recibidos de un servidor controlado por un atacante.
- UN nueva ola de actividad dirigida emprendido por SideWinder segmentación el sector marítimo y otros sectores verticales de Pakistán, Sri Lanka, Bangladesh, Nepal y Myanmar, con portales de recolección de credenciales y documentos de señuelos convertidos en armas que distribuyen malware multiplataforma como parte de una campaña «concentrada» con el nombre en código Operation SouthNet.
- Un ataque campaña emprendido por un grupo de hackers alineado con Vietnam conocido como Loto oceánico (también conocido como APT-Q-31) que ofrece el Caos marco posterior a la explotación en los ataques contra empresas y departamentos gubernamentales en China y los países vecinos del sudeste asiático.
- Un campaña de ataque emprendido por Elefante misterioso a principios de 2025, que utiliza una combinación de kits de exploits, correos electrónicos de suplantación de identidad y documentos maliciosos para obtener el acceso inicial a entidades gubernamentales y sectores de asuntos exteriores objetivo en Pakistán, Afganistán, Bangladesh, Nepal, India y Sri Lanka mediante un script de PowerShell que elimina BabShell (un shell inverso de C++) y, a continuación, lanza MemLoader HidenDesk (un cargador que ejecuta una carga útil de Remcos RAT en la memoria) y MemLoader Edge (otro cargador malintencionado que incorpora RAT, una variante del RAT de código abierto (VxRat).
Cabe destacar que estas intrusiones también se han centrado en filtrar las comunicaciones de WhatsApp de los servidores comprometidos mediante una serie de módulos (a saber, Uplo Exfiltrator y Stom Exfiltrator) que se dedican a capturar varios archivos intercambiados a través de la popular plataforma de mensajería.
Otra herramienta utilizada por el actor de amenazas es ChromeStealer Exfiltrator, que, como su nombre lo indica, es capaz de recopilar cookies, tokens y otra información confidencial de Google Chrome, así como sifones de archivos relacionados con WhatsApp.
La revelación muestra la imagen de un grupo de hackers que ha evolucionado más allá de depender de las herramientas de otros actores de amenazas para convertirse en una sofisticada operación de amenazas, con su propio arsenal de malware personalizado. Se sabe que el adversario comparte solapamientos tácticos con Elefante de origami , Confucio , y SideWinder, todos los cuales se considera que operan teniendo en cuenta los intereses de la India.
«Mysterious Elephant es un grupo de amenazas persistentes avanzadas altamente sofisticado y activo que representa una amenaza significativa para las entidades gubernamentales y los sectores de asuntos exteriores en la región de Asia y el Pacífico», dijo Kaspesky. «El uso de herramientas personalizadas y de código abierto, como BabShell y MemLoader, pone de manifiesto su experiencia técnica y su disposición a invertir en el desarrollo de malware avanzado».