🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um ator de ameaça no nexo do Paquistão foi observado visando entidades governamentais indianas como parte de ataques de spear-phishing projetados para entregar um malware baseado em Golang conhecido como DeskRAT.
A atividade, observada em agosto e setembro de 2025 pela Sekoia, foi atribuída ao Transparent Tribe (também conhecido como APT36), um grupo de hackers patrocinado pelo estado conhecido por estar ativo pelo menos desde 2013. Também se baseia em uma campanha anterior divulgada pela CYFIRMA em agosto de 2025.
As cadeias de ataque envolvem o envio de e-mails de phishing contendo um anexo de arquivo ZIP ou, em alguns casos, um link apontando para um arquivo hospedado em serviços de nuvem legítimos, como o Google Drive. Presente no arquivo ZIP está um arquivo malicioso do Desktop que incorpora comandos para exibir um PDF chamariz ("CDS_Directive_Armed_Forces.pdf") usando o Mozilla Firefox enquanto executa simultaneamente a carga principal.
Ambos os artefatos são extraídos de um servidor externo "modgovindia[.]com") e executados. Como antes, a campanha foi projetada para atingir sistemas Linux BOSS (Bharat Operating System Solutions), com o trojan de acesso remoto capaz de estabelecer comando e controle (C2) usando WebSockets.
O malware suporta quatro métodos diferentes de persistência, incluindo a criação de um serviço systemd, a configuração de um cron job, a adição do malware ao diretório de inicialização automática do Linux ($HOME/.config/autostart) e a configuração de .bashrc para iniciar o trojan por meio de um script de shell escrito no diretório "$HOME/.config/system-backup/".
DeskRAT suporta cinco comandos diferentes -
ping, para enviar uma mensagem JSON com o carimbo de data/hora atual, junto com "pong" para o servidor C2
heartbeat, para enviar uma mensagem JSON contendo heartbeat_response e um carimbo de data/hora
Browse_files, para enviar listagens de diretórios
start_collection, para pesquisar e enviar arquivos que correspondam a um conjunto predefinido de extensões e que tenham tamanho inferior a 100 MB
upload_execute, para descartar uma carga adicional de Python, shell ou desktop e executá-la
“Os servidores C2 do DeskRAT são chamados de servidores furtivos”, disse a empresa francesa de segurança cibernética. "Neste contexto, um servidor furtivo refere-se a um servidor de nomes que não aparece em nenhum registro NS publicamente visível para o domínio associado."
“Embora as campanhas iniciais tenham aproveitado plataformas legítimas de armazenamento em nuvem, como o Google Drive, para distribuir cargas maliciosas, a TransparentTribe agora fez a transição para o uso de servidores de teste dedicados.”
As descobertas seguem um relatório do QiAnXin XLab, que detalhou o direcionamento da campanha para endpoints do Windows com um backdoor Golang que ele rastreia como StealthServer por meio de e-mails de phishing contendo anexos de arquivos do Desktop com armadilhas, sugerindo um foco em plataforma cruzada.
É importante notar que o StealthServer para Windows vem em três variantes -
StealthServer Windows-V1 (observado em julho de 2025), que emprega diversas técnicas anti-análise e anti-depuração para evitar a detecção; estabelece persistência usando tarefas agendadas, um script do PowerShell adicionado à pasta de inicialização do Windows e alterações no registro do Windows; e usa TCP para se comunicar com o servidor C2 para enumerar arquivos e fazer upload/download de arquivos específicos
StealthServer Windows-V2 (observado no final de agosto de 2025), que adiciona novas verificações antidepuração para ferramentas como OllyDbg, x64dbg e IDA, mantendo a funcionalidade intacta
StealthServer Windows-V3 (observado no final de agosto de 2025), que usa WebSocket para comunicação e tem a mesma funcionalidade do DeskRAT
A XLab disse que também observou duas variantes Linux do StealthServer, uma das quais é o DeskRAT com suporte para um comando extra chamado “bem-vindo”. A segunda versão do Linux, por outro lado, usa HTTP para comunicações C2 em vez de WebSocket. Possui três comandos -
navegar, para enumerar arquivos em um diretório especificado
upload, para fazer upload de um arquivo especificado
execute, para executar um comando bash
Ele também procura recursivamente arquivos que correspondam a um conjunto de extensões diretamente do diretório raiz ("/") e, em seguida, os transmite à medida que os encontra em um formato criptografado por meio de uma solicitação HTTP POST para "modgovindia[.]space:4000". Isso indica que a variante Linux poderia ter sido uma iteração anterior do DeskRAT, já que este último apresenta um comando “start_collection” dedicado para exfiltrar arquivos.
“As operações do grupo são frequentes e caracterizadas por uma ampla variedade de ferramentas, inúmeras variantes e uma alta cadência de entrega”, disse QiAnXin XLab.
Ataques de outros grupos de ameaças do Sul e do Leste Asiático
O desenvolvimento ocorre em meio à descoberta de várias campanhas orquestradas por atores de ameaças focados no Sul da Ásia nas últimas semanas -
Uma campanha de phishing realizada pela Bitter APT visando os setores governamental, de energia elétrica e militar na China e no Paquistão com anexos maliciosos do Microsoft Excel ou arquivos RAR que exploram o CVE-2025-8088 para, em última instância, descartar um implante C# chamado "cayote.log" que pode coletar
A atividade, observada em agosto e setembro de 2025 pela Sekoia, foi atribuída ao Transparent Tribe (também conhecido como APT36), um grupo de hackers patrocinado pelo estado conhecido por estar ativo pelo menos desde 2013. Também se baseia em uma campanha anterior divulgada pela CYFIRMA em agosto de 2025.
As cadeias de ataque envolvem o envio de e-mails de phishing contendo um anexo de arquivo ZIP ou, em alguns casos, um link apontando para um arquivo hospedado em serviços de nuvem legítimos, como o Google Drive. Presente no arquivo ZIP está um arquivo malicioso do Desktop que incorpora comandos para exibir um PDF chamariz ("CDS_Directive_Armed_Forces.pdf") usando o Mozilla Firefox enquanto executa simultaneamente a carga principal.
Ambos os artefatos são extraídos de um servidor externo "modgovindia[.]com") e executados. Como antes, a campanha foi projetada para atingir sistemas Linux BOSS (Bharat Operating System Solutions), com o trojan de acesso remoto capaz de estabelecer comando e controle (C2) usando WebSockets.
O malware suporta quatro métodos diferentes de persistência, incluindo a criação de um serviço systemd, a configuração de um cron job, a adição do malware ao diretório de inicialização automática do Linux ($HOME/.config/autostart) e a configuração de .bashrc para iniciar o trojan por meio de um script de shell escrito no diretório "$HOME/.config/system-backup/".
DeskRAT suporta cinco comandos diferentes -
ping, para enviar uma mensagem JSON com o carimbo de data/hora atual, junto com "pong" para o servidor C2
heartbeat, para enviar uma mensagem JSON contendo heartbeat_response e um carimbo de data/hora
Browse_files, para enviar listagens de diretórios
start_collection, para pesquisar e enviar arquivos que correspondam a um conjunto predefinido de extensões e que tenham tamanho inferior a 100 MB
upload_execute, para descartar uma carga adicional de Python, shell ou desktop e executá-la
“Os servidores C2 do DeskRAT são chamados de servidores furtivos”, disse a empresa francesa de segurança cibernética. "Neste contexto, um servidor furtivo refere-se a um servidor de nomes que não aparece em nenhum registro NS publicamente visível para o domínio associado."
“Embora as campanhas iniciais tenham aproveitado plataformas legítimas de armazenamento em nuvem, como o Google Drive, para distribuir cargas maliciosas, a TransparentTribe agora fez a transição para o uso de servidores de teste dedicados.”
As descobertas seguem um relatório do QiAnXin XLab, que detalhou o direcionamento da campanha para endpoints do Windows com um backdoor Golang que ele rastreia como StealthServer por meio de e-mails de phishing contendo anexos de arquivos do Desktop com armadilhas, sugerindo um foco em plataforma cruzada.
É importante notar que o StealthServer para Windows vem em três variantes -
StealthServer Windows-V1 (observado em julho de 2025), que emprega diversas técnicas anti-análise e anti-depuração para evitar a detecção; estabelece persistência usando tarefas agendadas, um script do PowerShell adicionado à pasta de inicialização do Windows e alterações no registro do Windows; e usa TCP para se comunicar com o servidor C2 para enumerar arquivos e fazer upload/download de arquivos específicos
StealthServer Windows-V2 (observado no final de agosto de 2025), que adiciona novas verificações antidepuração para ferramentas como OllyDbg, x64dbg e IDA, mantendo a funcionalidade intacta
StealthServer Windows-V3 (observado no final de agosto de 2025), que usa WebSocket para comunicação e tem a mesma funcionalidade do DeskRAT
A XLab disse que também observou duas variantes Linux do StealthServer, uma das quais é o DeskRAT com suporte para um comando extra chamado “bem-vindo”. A segunda versão do Linux, por outro lado, usa HTTP para comunicações C2 em vez de WebSocket. Possui três comandos -
navegar, para enumerar arquivos em um diretório especificado
upload, para fazer upload de um arquivo especificado
execute, para executar um comando bash
Ele também procura recursivamente arquivos que correspondam a um conjunto de extensões diretamente do diretório raiz ("/") e, em seguida, os transmite à medida que os encontra em um formato criptografado por meio de uma solicitação HTTP POST para "modgovindia[.]space:4000". Isso indica que a variante Linux poderia ter sido uma iteração anterior do DeskRAT, já que este último apresenta um comando “start_collection” dedicado para exfiltrar arquivos.
“As operações do grupo são frequentes e caracterizadas por uma ampla variedade de ferramentas, inúmeras variantes e uma alta cadência de entrega”, disse QiAnXin XLab.
Ataques de outros grupos de ameaças do Sul e do Leste Asiático
O desenvolvimento ocorre em meio à descoberta de várias campanhas orquestradas por atores de ameaças focados no Sul da Ásia nas últimas semanas -
Uma campanha de phishing realizada pela Bitter APT visando os setores governamental, de energia elétrica e militar na China e no Paquistão com anexos maliciosos do Microsoft Excel ou arquivos RAR que exploram o CVE-2025-8088 para, em última instância, descartar um implante C# chamado "cayote.log" que pode coletar
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #apt36 #tem #como #alvo #o #governo #indiano #com #campanha #de #malware #deskrat #baseada #em #golang
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário