Selon Nextron Systems, une campagne sophistiquée attribuée à APT36, rappelant les tactiques d’Operation Sindoor, vise des organisations indiennes via des pièces jointes .desktop piégées se faisant passer pour des PDF, afin de prendre le contrôle à distance de systèmes Linux.
• Nature de l’attaque 🎣: des e‑mails de spear‑phishing livrent des fichiers .desktop malveillants qui déclenchent une infection en plusieurs étapes, aboutissant à l’installation de MeshAgent pour un accès à distance complet, la surveillance et l’exfiltration de données.
• Chaîne d’infection et obfuscation 🧪: démarrage par des binaires ELF corrompus dont les magic bytes sont retirés puis réintroduits à l’exécution. Les charges utiles sont des binaires Go packés avec UPX, avec obfuscation DES/Base64 et chiffrement AES‑CTR pour protéger les payloads.
• Évasion et anti‑analyse 🕵️: le malware met en œuvre des contrôles anti‑VM (validation d’informations DMI, filtrage d’adresses MAC, surveillance de processus) pour contourner la détection et l’analyse.
• Commandement et contrôle 🕸️: la phase finale déploie MeshAgent qui se connecte à l’infrastructure C2 via le domaine indianbosssystems.ddns.net, résolu vers des serveurs hébergés sur AWS. Tous les domaines associés auraient été enregistrés le même jour, suggérant une préparation coordonnée.
IOCs extraits:
- Domaine C2: indianbosssystems.ddns.net (résolution vers des serveurs AWS)
TTPs observés:
- Spear‑phishing avec fichiers .desktop déguisés en PDF (Linux 🐧)
- ELF à magic bytes retirés puis restaurés à l’exécution
- Binaire Go packé UPX avec obfuscation DES/Base64
- Chiffrement AES‑CTR des payloads
- Anti‑VM: vérification DMI, filtrage MAC, surveillance de processus
- Déploiement du RAT MeshAgent et C2 sur ddns.net/AWS
Type d’article: analyse de menace visant à documenter la campagne, ses techniques et ses indicateurs.
🧠 TTPs et IOCs détectés
TTPs
[‘Spear-phishing avec fichiers .desktop déguisés en PDF’, “Utilisation de binaires ELF à magic bytes retirés puis restaurés à l’exécution”, ‘Utilisation de binaire Go packé UPX avec obfuscation DES/Base64’, ‘Chiffrement AES-CTR des payloads’, ‘Mise en œuvre de techniques anti-VM: vérification DMI, filtrage MAC, surveillance de processus’, ‘Déploiement du RAT MeshAgent’, “Utilisation de l’infrastructure C2 sur ddns.net/AWS”]
IOCs
[‘Domaine C2: indianbosssystems.ddns.net’]
🔗 Source originale : https://www.nextron-systems.com/2025/08/29/sindoor-dropper-new-phishing-campaign/