Selon SEKOIA (blog.sekoia.io), TransparentTribe (APT36), un acteur lié au Pakistan, a fait évoluer sa campagne d’espionnage ciblant des organismes gouvernementaux et de défense indiens en introduisant DeskRAT, un nouveau RAT Linux en Golang livré via des fichiers .desktop malveillants et opéré via une infrastructure C2 WebSocket.
🎯 Ciblage et leurres
- Campagne d’espionnage visant des entités gouvernementales et de défense indiennes, avec des leurres exploitant les tensions régionales au Ladakh.
- Passage d’un hébergement sur Google Drive à des serveurs de staging dédiés pour la distribution des charges.
🛠️ Chaîne d’infection et livraison
- Diffusion via archives ZIP contenant des fichiers .desktop malveillants.
- Exécution de one-liners Bash pour télécharger, décoder (hex→binaire puis Base64) et exécuter la charge utile Golang.
- Ciblage explicite des distributions BOSS Linux.
🕸️ Capacités du RAT et persistance
- Fonctionnalités de navigation de fichiers, collecte (16 extensions, fichiers < 100 Mo) et exécution distante de scripts (.py, .sh, .desktop).
- Quatre mécanismes de persistance Linux: service systemd, cron, autostart .desktop, script de démarrage bash.
- Indication d’un développement assisté par LLM pour faire évoluer les fonctionnalités.
📡 Commande et contrôle
- Communication C2 via WebSocket non chiffré sur le port 8080.
- Panneau web au chemin /login, avec dashboard.js et remote_access.js pour la supervision centralisée et la prise de contrôle des clients.
Indicateurs et TTPs
- IOCs observables:
- C2 via WebSocket sur tcp/8080.
- Interface C2: /login, ressources dashboard.js, remote_access.js.
- TTPs:
- Initial access: phishing avec fichiers .desktop dans des ZIP.
- Execution: one-liners bash, décodage hex/Base64, exécution de binaires Golang.
- Persistence: systemd, cron, autostart .desktop, .bashrc/script de démarrage.
- Collection/exfiltration: parcours et collecte de fichiers (filtrés par extension et taille).
- C2: WebSocket non sécurisé (port 8080), panneau web centralisé.
Type d’article: analyse de menace présentant l’évolution d’une campagne APT et la description technique de son outillage (DeskRAT) et de son infrastructure.
🧠 TTPs et IOCs détectés
TTPs
Initial access: phishing avec fichiers .desktop dans des ZIP; Execution: one-liners bash, décodage hex/Base64, exécution de binaires Golang; Persistence: systemd, cron, autostart .desktop, .bashrc/script de démarrage; Collection/exfiltration: parcours et collecte de fichiers (filtrés par extension et taille); C2: WebSocket non sécurisé (port 8080), panneau web centralisé.
IOCs
C2 via WebSocket sur tcp/8080; Interface C2: /login, ressources dashboard.js, remote_access.js.
🔗 Source originale : https://blog.sekoia.io/transparenttribe-targets-indian-military-organisations-with-deskrat/