Invisibles desde Pakistán: el grupo APT36 perfecciona el arte del sigilo en sistemas informáticos indios
¿Por qué BOSS Linux se convirtió en objetivo de Transparent Tribe? Analizamos la nueva ola de ciberespionaje.
El grupo de hackers paquistaní conocido como Transparent Tribe (APT36), intensificó el ciberespionaje contra entidades estatales de India, utilizando la nueva herramienta maliciosa DeskRAT, desarrollada en el lenguaje Go. Esto lo informaron los analistas de la empresa Sekoia, que registraron actividad en agosto y septiembre de este año.
La campaña continúa la línea de ataques descrita anteriormente en el informe de la empresa CYFIRMA. La distribución de DeskRAT se realiza mediante correos de phishing, que contienen archivos ZIP con archivos maliciosos. En ellos se oculta un acceso directo que, al abrirse, a la vez abre un documento PDF de señuelo y descarga el ejecutable principal desde el dominio externo «modgovindia[.]com».
Los objetivos del ataque siguen siendo los sistemas basados en BOSS Linux —el sistema operativo nacional de India. El troyano establece una conexión con el servidor de control mediante el protocolo WebSocket y utiliza uno de cuatro métodos para persistir en el sistema: crear un servicio systemd, configurar una tarea cron, añadirse al inicio automático a través de la carpeta de inicio o modificar el archivo .bashrc para ejecutar un script desde el directorio system-backup.
El código malicioso admite un conjunto de comandos para intercambiar datos, consultar el contenido de directorios, buscar y enviar archivos con determinadas extensiones (de hasta 100 MB), así como descargar y ejecutar cargas útiles adicionales —tanto scripts como archivos ejecutables. Además, DeskRAT puede operar en conjunto con «servidores stealth» —una infraestructura de dominios sin registros DNS públicos, lo que dificulta su detección.
El laboratorio chino QiAnXin XLab informó que los ataques de Transparent Tribe superaron el ámbito de Linux y afectaron a sistemas Windows. El backdoor utilizado para ello, StealthServer, tiene varias variantes. La primera versión, detectada en julio, se implanta mediante tareas del programador, scripts PowerShell y modificaciones del registro, y la comunicación con el servidor de control se realiza por TCP. La segunda y la tercera versión, aparecidas en agosto, añadieron protección contra depuración y pasaron a WebSocket. La última coincide en funcionalidad con DeskRAT.
Además, XLab identificó dos versiones separadas de StealthServer para Linux. Una de ellas usa HTTP en lugar de WebSocket y tiene un conjunto de comandos simplificado: ver directorios, descargar archivos y ejecutar comandos bash. También escanea todo el sistema de archivos en busca de las extensiones necesarias y las envía cifradas al servidor «modgovindia[.]space:4000». Esto sugiere que esta variante fue precursora de DeskRAT, donde las funciones de búsqueda y envío están implementadas de forma más estructurada.
La evolución de las herramientas maliciosas de Transparent Tribe muestra lo rápido que los grupos de hackers estatales se adaptan a nuevas condiciones, ampliando su alcance, perfeccionando los mecanismos de infiltración y evasión de defensas —y así aumentando la amenaza para la infraestructura crítica.
No esperes a que los hackers te ataquen: ¡suscríbete a nuestro canal y conviértete en una fortaleza impenetrable!