Pakistanska hakerska grupa APT36, koju podržava država, ponovo cilja indijske vladine entitete u novoj kampanji usmjerenoj na Linux sisteme.
Aktivna najmanje od 2013. godine, ova grupa je poznata i pod imenima Earth Karkaddan, Mythic Leopard, Operation C-Major i Transparent Tribe, a specijalizovana je za sajber špijunažu protiv indijskih vladinih i odbrambenih institucija.
U napadima izvedenim tokom avgusta 2025. godine, APT36 se oslanjao na novu tehniku infekcije – korišćenje Linux desktop entry (.desktop) fajlova za isporuku malicioznog softvera. Ovi tekstualni fajlovi definišu prečice i pokretače aplikacija i sadrže njihove metapodatke.
Distribuisani kroz fišing kampanju sa temom nabavki, maliciozni fajlovi bili su spakovani unutar ZIP arhiva i predstavljeni kao dokumenti. Kada bi se otvorili, preuzimali bi dropper sa Google Drive-a i istovremeno prikazivali lažni PDF dokument u Firefoxu, navodi CloudSEK.
Dropper sprovodi anti-debugging i anti-sandbox provjere, postavlja mehanizme za upornost na sistemu i pokušava da uspostavi komunikaciju sa komandno-kontrolnim (C&C) serverom koristeći WebSockets.
„Korišćenje Google Drive-a u napadnom ciklusu predstavlja značajnu evoluciju sposobnosti ove grupe, uvodeći spear-fišing metode koje nose veći rizik za Linux-baziranu vladinu i odbrambenu infrastrukturu,“ ističe CloudSEK.
Upotreba malvera posebno prilagođenog za Linux okruženja pokazuje rastuću sofisticiranost i fleksibilnost grupe APT36, navodi Cyfirma u posebnom izvještaju.
„Sposobnost APT36 da prilagodi mehanizme isporuke operativnom okruženju žrtve povećava šanse za uspjeh, omogućava održavanje upornog pristupa kritičnoj vladinoj infrastrukturi i istovremeno pomaže izbjegavanju tradicionalnih bezbjednosnih kontrola,“ objašnjava kompanija.
Fišing mejlovi koje je posmatrala Cyfirma bili su maskirani u pozive na sastanke, ali su koristili isti mehanizam infekcije – .desktop fajlove kao loadere.
Firma takođe naglašava da, iako APT36 ostaje fokusiran na indijske vladine entitete i povezane sektore, povremeno oportunistički cilja i organizacije u drugim državama.
„Usvajanje .desktop payload-a koji ciljaju Linux okruženja odražava taktički zaokret ka eksploatisanju lokalnih tehnologija. U kombinaciji sa tradicionalnim malverom za Windows i mobilnim implantima, ovo pokazuje namjeru grupe da diverzifikuje napadne vektore i osigura upornost čak i u ojačanim okruženjima,“ navodi Cyfirma.
Izvor: SecurityWeek