APT36

Selon SEKOIA (blog.sekoia.io), TransparentTribe (APT36), un acteur lié au Pakistan, a fait évoluer sa campagne d’espionnage ciblant des organismes gouvernementaux et de défense indiens en introduisant DeskRAT, un nouveau RAT Linux en Golang livré via des fichiers .desktop malveillants et opéré via une infrastructure C2 WebSocket. 🎯 Ciblage et leurres Campagne d’espionnage visant des entités gouvernementales et de défense indiennes, avec des leurres exploitant les tensions régionales au Ladakh. Passage d’un hébergement sur Google Drive à des serveurs de staging dédiés pour la distribution des charges. 🛠️ Chaîne d’infection et livraison ...

Selon un billet de blog technique de XLab de QiAnXin (référence fournie), des chercheurs ont identifié StealthServer, un backdoor sophistiqué ciblant à la fois Windows et Linux, attribué au groupe APT36. La distribution repose sur de l’ingénierie sociale avec des leurres à thématique politique et militaire, livrant des charges utiles déguisées en documents PDF. Le malware offre des capacités d’exfiltration de fichiers et d’exécution de commandes à distance, tout en recourant à des techniques anti-analyse étendues, notamment l’injection de code inutile et l’obfuscation du trafic. Plusieurs variantes indiquent un développement actif, avec une transition des communications de TCP vers WebSocket. ...

Selon Nextron Systems, une campagne sophistiquée attribuée à APT36, rappelant les tactiques d’Operation Sindoor, vise des organisations indiennes via des pièces jointes .desktop piégées se faisant passer pour des PDF, afin de prendre le contrôle à distance de systèmes Linux. • Nature de l’attaque 🎣: des e‑mails de spear‑phishing livrent des fichiers .desktop malveillants qui déclenchent une infection en plusieurs étapes, aboutissant à l’installation de MeshAgent pour un accès à distance complet, la surveillance et l’exfiltration de données. ...

Selon BleepingComputer, le groupe d’espionnage pakistanais APT36 mène de nouvelles attaques en abusant de fichiers .desktop sous Linux afin de charger un malware contre des organismes gouvernementaux et de défense en Inde. Points clés: Acteur: APT36 (Pakistan) Technique: abus de fichiers .desktop pour charger un malware Plateforme: Linux 🐧 Cibles: entités de gouvernement et de défense en Inde 🎯 Nature: cyberespionnage TTPs observés: Utilisation de fichiers .desktop Linux comme vecteur pour lancer/charger le malware. Impact et portée: ...

Selon CloudSEK, une escalade massive de menaces cible les infrastructures critiques indiennes, alimentée par des tensions géopolitiques consécutives à l’attentat de Pahalgam. L’analyse met en lumière la convergence d’actions hacktivistes idéologiques et d’opérations étatiques sophistiquées. Volume et cibles : plus de 4 000 incidents documentés visant les secteurs gouvernemental, financier et de la défense. Les vecteurs dominants incluent phishing, vol d’identifiants et faux domaines imitant des services publics. Acteurs et outils : APT36 déploie le malware personnalisé CapraRAT ; APT41 mène des intrusions de chaîne d’approvisionnement et exploite des zero-days ; SideCopy utilise des RAT multiplateformes pour maintenir un accès persistant. ...

Selon un article publié par Bleepingcomputer , une nouvelle campagne de cyberattaques utilisant la technique ClickFix a été détectée. Cette méthode de social engineering utilise de faux systèmes de vérification ou des erreurs d’application pour inciter les utilisateurs à exécuter des commandes malveillantes. Historiquement, ces attaques ciblaient principalement les systèmes Windows, en incitant les victimes à exécuter des scripts PowerShell via la commande Exécuter de Windows, entraînant des infections par des logiciels malveillants de type info-stealer et même des ransomwares. ...