Một tác nhân đe dọa liên quan đến Pakistan đã được quan sát thấy nhắm mục tiêu vào các cơ quan chính phủ Ấn Độ như một phần của các cuộc tấn công spear-phishing được thiết kế để phát tán một mã độc dựa trên Golang có tên là DeskRAT.
Hoạt động này, được Sekoia ghi nhận vào tháng 8 và tháng 9 năm 2025, đã được gán cho Transparent Tribe (còn gọi là APT36), một nhóm hacker được nhà nước bảo trợ đã hoạt động ít nhất từ năm 2013. Nó cũng dựa trên một chiến dịch trước đó được CYFIRMA công bố vào tháng 8 năm 2025.
Chuỗi tấn công bao gồm việc gửi các email phishing chứa tệp đính kèm ZIP, hoặc trong một số trường hợp, một liên kết trỏ đến một kho lưu trữ được lưu trữ trên các dịch vụ cloud hợp pháp như Google Drive. Trong tệp ZIP có một tệp Desktop độc hại nhúng các lệnh để hiển thị tệp PDF mồi ("CDS_Directive_Armed_Forces.pdf") bằng Mozilla Firefox đồng thời thực thi payload chính.
Cả hai artifact đều được kéo từ một máy chủ bên ngoài ("modgovindia[.]com") và được thực thi. Tương tự như trước đây, chiến dịch này được thiết kế để nhắm mục tiêu vào các hệ thống BOSS (Bharat Operating System Solutions) Linux, với remote access trojan có khả năng thiết lập command-and-control (C2) bằng cách sử dụng WebSockets.
Mã độc này hỗ trợ bốn phương pháp khác nhau để duy trì quyền truy cập (persistence), bao gồm tạo một dịch vụ systemd, thiết lập một cron job, thêm mã độc vào thư mục tự khởi động của Linux ($HOME/.config/autostart), và cấu hình .bashrc để khởi chạy trojan thông qua một shell script được ghi vào thư mục "$HOME/.config/system-backup/".
DeskRAT hỗ trợ năm lệnh khác nhau:
- ping, để gửi một tin nhắn JSON với timestamp hiện tại, cùng với "pong" tới máy chủ C2
- heartbeat, để gửi một tin nhắn JSON chứa heartbeat_response và một timestamp
- browse_files, để gửi danh sách thư mục
- start_collection, để tìm kiếm và gửi các tệp khớp với một tập hợp phần mở rộng được xác định trước và có kích thước dưới 100 MB
- upload_execute, để thả một payload Python, shell hoặc desktop bổ sung và thực thi nó
"Các máy chủ C2 của DeskRAT được gọi là stealth servers," công ty an ninh mạng Pháp cho biết. "Trong ngữ cảnh này, một stealth server đề cập đến một name server không xuất hiện trong bất kỳ bản ghi NS nào được hiển thị công khai cho domain liên quan."
"Trong khi các chiến dịch ban đầu tận dụng các nền tảng lưu trữ cloud hợp pháp như Google Drive để phân phối các malicious payloads, TransparentTribe hiện đã chuyển sang sử dụng các staging servers chuyên dụng."
Những phát hiện này theo sau một báo cáo từ QiAnXin XLab, trong đó chi tiết về chiến dịch nhắm mục tiêu vào các Windows endpoints bằng một Golang backdoor mà họ theo dõi dưới tên StealthServer thông qua các email phishing chứa các tệp đính kèm Desktop bị cài bẫy, cho thấy sự tập trung vào nhiều nền tảng.
Đáng chú ý là StealthServer dành cho Windows có ba biến thể:
- StealthServer Windows-V1 (được ghi nhận vào tháng 7 năm 2025), sử dụng một số kỹ thuật anti-analysis và anti-debug để tránh bị phát hiện; thiết lập persistence bằng cách sử dụng scheduled tasks, một PowerShell script được thêm vào thư mục Windows Startup và các thay đổi trong Windows Registry; và sử dụng TCP để giao tiếp với máy chủ C2 nhằm liệt kê các tệp và upload/download các tệp cụ thể
- StealthServer Windows-V2 (được ghi nhận vào cuối tháng 8 năm 2025), bổ sung các kiểm tra anti-debug mới cho các công cụ như OllyDbg, x64dbg và IDA, đồng thời giữ nguyên chức năng
- StealthServer Windows-V3 (được ghi nhận vào cuối tháng 8 năm 2025), sử dụng WebSocket để giao tiếp và có cùng chức năng như DeskRAT
XLab cho biết họ cũng đã quan sát thấy hai biến thể Linux của StealthServer, một trong số đó là DeskRAT với sự hỗ trợ cho một lệnh bổ sung được gọi là "welcome". Phiên bản Linux thứ hai, mặt khác, sử dụng HTTP để giao tiếp C2 thay vì WebSocket. Nó có ba lệnh:
- browse, để liệt kê các tệp trong một thư mục được chỉ định
- upload, để upload một tệp được chỉ định
- execute, để thực thi một lệnh bash
Nó cũng tìm kiếm đệ quy các tệp khớp với một tập hợp phần mở rộng ngay từ thư mục gốc ("/") và sau đó truyền chúng khi tìm thấy ở định dạng được mã hóa qua một HTTP POST request tới "modgovindia[.]space:4000." Điều này cho thấy biến thể Linux có thể là một phiên bản DeskRAT trước đó, vì DeskRAT sau này có một lệnh "start_collection" chuyên dụng để exfiltrate các tệp.
"Các hoạt động của nhóm diễn ra thường xuyên và được đặc trưng bởi nhiều công cụ đa dạng, nhiều biến thể và tần suất phát tán cao," QiAnXin XLab cho biết.
Các Cuộc Tấn công từ Các Nhóm Đe dọa Khác ở Nam và Đông Á
Sự phát triển này diễn ra trong bối cảnh phát hiện ra nhiều chiến dịch khác nhau do các tác nhân đe dọa tập trung vào Nam Á thực hiện trong những tuần gần đây:
- Một chiến dịch phishing do Bitter APT thực hiện nhắm mục tiêu vào các lĩnh vực chính phủ, điện lực và quân sự ở Trung Quốc và Pakistan bằng các tệp đính kèm Microsoft Excel độc hại hoặc các kho lưu trữ RAR khai thác CVE-2025-8088 để cuối cùng thả một C# implant có tên "cayote.log" có thể thu thập thông tin hệ thống và chạy các executables tùy ý nhận được từ một máy chủ do kẻ tấn công kiểm soát.
- Một làn sóng hoạt động nhắm mục tiêu mới do SideWinder thực hiện nhằm vào ngành hàng hải và các lĩnh vực khác ở Pakistan, Sri Lanka, Bangladesh, Nepal và Myanmar bằng các cổng credential-harvesting và các tài liệu mồi nhử được vũ khí hóa phát tán malware đa nền tảng như một phần của chiến dịch "tập trung" có tên mã Operation SouthNet.
- Một chiến dịch tấn công do một nhóm hacker liên kết với Việt Nam được gọi là OceanLotus (còn gọi là APT-Q-31) thực hiện, phân phối Havoc post-exploitation framework trong các cuộc tấn công nhắm mục tiêu vào các doanh nghiệp và cơ quan chính phủ ở Trung Quốc và các nước Đông Nam Á lân cận.
- Một chiến dịch tấn công do Mysterious Elephant thực hiện vào đầu năm 2025, sử dụng kết hợp exploit kits, phishing emails và các tài liệu độc hại để giành quyền truy cập ban đầu vào các cơ quan chính phủ và các lĩnh vực đối ngoại ở Pakistan, Afghanistan, Bangladesh, Nepal, Ấn Độ và Sri Lanka bằng cách sử dụng một PowerShell script thả BabShell (một C++ reverse shell), sau đó khởi chạy MemLoader HidenDesk (một loader thực thi payload Remcos RAT trong bộ nhớ) và MemLoader Edge (một malicious loader khác nhúng VRat, một biến thể của open-source RAT vxRat).
Đáng chú ý, các vụ xâm nhập này cũng tập trung vào việc exfiltrate các cuộc giao tiếp trên WhatsApp từ các máy chủ bị xâm nhập bằng cách sử dụng một số module – cụ thể là Uplo Exfiltrator và Stom Exfiltrator – được dành riêng để thu thập các tệp khác nhau được trao đổi qua nền tảng nhắn tin phổ biến này.
Một công cụ khác được tác nhân đe dọa sử dụng là ChromeStealer Exfiltrator, như tên gọi của nó, có khả năng thu thập cookies, tokens và các thông tin nhạy cảm khác từ Google Chrome, cũng như lấy cắp các tệp liên quan đến WhatsApp.
Việc tiết lộ này khắc họa một nhóm hacker đã phát triển vượt ra ngoài việc dựa vào các công cụ từ các tác nhân đe dọa khác, trở thành một chiến dịch đe dọa tinh vi, sở hữu kho vũ khí mã độc tùy chỉnh của riêng mình. Kẻ thù này được biết là có sự trùng lặp về chiến thuật với Origami Elephant, Confucius, và SideWinder, tất cả đều được đánh giá là hoạt động vì lợi ích của Ấn Độ.
"Mysterious Elephant là một nhóm Advanced Persistent Threat rất tinh vi và hoạt động tích cực, đặt ra mối đe dọa đáng kể đối với các cơ quan chính phủ và lĩnh vực đối ngoại trong khu vực Châu Á-Thái Bình Dương," Kaspesky cho biết. "Việc sử dụng các công cụ tùy chỉnh và mã nguồn mở, chẳng hạn như BabShell và MemLoader, làm nổi bật chuyên môn kỹ thuật của họ và sự sẵn sàng đầu tư vào việc phát triển mã độc tiên tiến."
