Se ha observado que un actor de amenazas del enlace con Pakistán apunta a entidades gubernamentales de la India como parte de ataques de phishing diseñados para entregar un malware basado en Golang conocido como DESCRITO.
La actividad, observada en agosto y septiembre de 2025 por Sekoia, se ha atribuido a Transparent Tribe (asimismo conocido como APT36), un categoría de piratería patrocinado por el estado que se sabe que está activo desde al menos 2013. Asimismo se cimiento en una campaña precedente divulgada por CYFIRMA en agosto de 2025.
Las cadenas de ataque implican el emisión de correos electrónicos de phishing que contienen un archivo ZIP adjunto o, en algunos casos, un enlace que apunta a un archivo alojado en servicios legítimos en la estrato como Google Drive. Interiormente del archivo ZIP hay un archivo de escritorio taimado que incorpora comandos para mostrar un PDF señuelo (“CDS_Directive_Armed_Forces.pdf”) usando Mozilla Firefox mientras se ejecuta simultáneamente la carga útil principal.
Los dos artefactos se extraen de un servidor forastero “modgovindia(.)com”) y se ejecutan. Como ayer, la campaña está diseñada para apuntar a los sistemas Linux BOSS (Bharat Operating System Solutions), con el troyano de paso remoto capaz de establecer comando y control (C2) utilizando WebSockets.
El malware admite cuatro métodos diferentes de persistencia, incluida la creación de un servicio systemd, la configuración de una tarea cron, la apéndice del malware al directorio de inicio mecánico de Linux ($HOME/.config/autostart) y la configuración de .bashrc para iniciar el troyano mediante un script de shell escrito en el directorio “$HOME/.config/system-backup/”.
DeskRAT admite cinco comandos diferentes:
- silbidopara expedir un mensaje JSON con la marca de tiempo coetáneo, cercano con “pong” al servidor C2
- palpitación del corazónpara expedir un mensaje JSON que contenga heartbeat_response y una marca de tiempo
- explorar_archivospara expedir listados de directorio
- inicio_colecciónpara apañarse y expedir archivos que coincidan con un conjunto predefinido de extensiones y que tengan un tamaño inferior a 100 MB
- subir_ejecutarpara soltar una carga útil adicional de Python, shell o escritorio y ejecutarla
“Los servidores C2 de DeskRAT se denominan servidores sigilosos”, dijo la empresa francesa de ciberseguridad. “En este contexto, un servidor oculto se refiere a un servidor de nombres que no aparece en ningún registro NS visible públicamente para el dominio asociado”.
“Si correctamente las campañas iniciales aprovecharon plataformas legítimas de almacenamiento en la estrato, como Google Drive, para distribuir cargas avíos maliciosas, TransparentTribe ahora ha pasado a utilizar servidores de prueba dedicados”.
Los hallazgos siguen a un crónica de QiAnXin XLab, que detalla el objetivo de la campaña de los puntos finales de Windows con una puerta trasera Golang que rastrea como StealthServer a través de correos electrónicos de phishing que contienen archivos adjuntos de escritorio con trampas explosivas, lo que sugiere un enfoque multiplataforma.
Vale la pena señalar que StealthServer para Windows viene en tres variantes:
- StealthServer Windows-V1 (Observado en julio de 2025), que emplea varias técnicas antianálisis y antidepuración para evitar la detección; establece persistencia mediante tareas programadas, un script de PowerShell asociado a la carpeta de Inicio de Windows y cambios en el Registro de Windows; y utiliza TCP para comunicarse con el servidor C2 para enumerar archivos y cargar/descargar archivos específicos
- StealthServer Windows-V2 (Observado a finales de agosto de 2025), que agrega nuevas comprobaciones antidepuración para herramientas como OllyDbg, x64dbg e IDA, manteniendo la funcionalidad intacta.
- StealthServer Windows-V3 (Observado a finales de agosto de 2025), que utiliza WebSocket para la comunicación y tiene la misma funcionalidad que DeskRAT
XLab dijo que asimismo observó dos variantes de Linux de StealthServer, una de las cuales es DeskRAT con soporte para un comando adicional llamado “bienvenido”. La segunda lectura de Linux, por otro flanco, utiliza HTTP para las comunicaciones C2 en circunscripción de WebSocket. Cuenta con tres comandos:
- navegarpara enumerar archivos en un directorio específico
- subirpara cargar un archivo específico
- ejecutarpara ejecutar un comando bash
Asimismo investigación recursivamente archivos que coincidan con un conjunto de extensiones directamente desde el directorio raíz (“https://thehackernews.com/”) y luego los transmite cuando los encuentra en un formato criptográfico a través de una solicitud HTTP POST a “modgovindia(.)space:4000”. Esto indica que la cambio de Linux podría ocurrir sido una lectura precedente de DeskRAT, ya que este final cuenta con un comando “start_collection” dedicado para filtrar archivos.
“Las operaciones del categoría son frecuentes y se caracterizan por una amplia variedad de herramientas, numerosas variantes y una entrada cadencia de entrega”, afirmó QiAnXin XLab.
Ataques de otros grupos de amenazas del sur y el este de Asia
El incremento se produce en medio del descubrimiento de varias campañas orquestadas por actores de amenazas centrados en el sur de Asia en las últimas semanas.
- Una campaña de phishing emprendida por Bitter APT dirigida a los sectores oficial, de energía eléctrica y marcial en China y Pakistán con archivos adjuntos maliciosos de Microsoft Excel o archivos RAR que explotan CVE-2025-8088 para finalmente eliminar un implante de C# llamado “cayote.log” que puede compilar información del sistema y ejecutar ejecutables arbitrarios recibidos de un servidor controlado por un atacante.
- Una nueva ola de actividad dirigida emprendida por SideWinder dirigida al sector náutico y otros sectores verticales en Pakistán, Sri Lanka, Bangladesh, Nepal y Myanmar con portales de convento de credenciales y documentos señuelo armados que entregan malware multiplataforma como parte de una campaña “concentrada” cuyo nombre en código es Operación SouthNet.
- Una campaña de ataque emprendida por un categoría de hackers simpatizante con Vietnam conocido como OceanLotus (asimismo conocido como APT-Q-31) que ofrece el ámbito post-explotación Havoc en ataques dirigidos a empresas y departamentos gubernamentales en China y los países vecinos del sudeste oriental.
- Una campaña de ataque emprendida por Mysterious Elephant a principios de 2025 que utiliza una combinación de kits de explotación, correos electrónicos de phishing y documentos maliciosos para obtener paso original a entidades gubernamentales y sectores de asuntos exteriores en Pakistán, Afganistán, Bangladesh, Nepal, India y Sri Lanka utilizando un script de PowerShell que elimina BabShell (un shell inverso de C++), que luego inicia MemLoader HidenDesk. (un cargador que ejecuta una carga útil Remcos RAT en la memoria) y MemLoader Edge (otro cargador taimado que incorpora VRat, una cambio del RAT vxRat de código descubierto).
En particular, estas intrusiones asimismo se han centrado en extraer las comunicaciones de WhatsApp de los hosts comprometidos utilizando una serie de módulos (a aprender, Uplo Exfiltrator y Stom Exfiltrator) que se dedican a capturar varios archivos intercambiados a través de la popular plataforma de correo.
Otra aparejo utilizada por el actor de amenazas es ChromeStealer Exfiltrator, que, como su nombre lo indica, es capaz de cosechar cookies, tokens y otra información confidencial de Google Chrome, así como desviar archivos relacionados con WhatsApp.
La divulgación muestra una imagen de un categoría de hackers que ha evolucionado más allá de subordinarse de herramientas de otros actores de amenazas hasta convertirse en una operación de amenazas sofisticada, empuñando su propio atarazana de malware personalizado. Se sabe que el adversario comparte superposiciones tácticas con Origami Elephant, Confucius y SideWinder, todos los cuales se considera que operan teniendo en cuenta los intereses indios.
“Mysterious Elephant es un categoría de Amenaza Persistente Destacamento en gran medida sofisticado y activo que representa una amenaza significativa para las entidades gubernamentales y los sectores de asuntos exteriores en la región de Asia y el Pacífico”, dijo Kaspesky. “El uso de herramientas personalizadas y de código descubierto, como BabShell y MemLoader, resalta su experiencia técnica y su voluntad de volver en el incremento de malware progresista”.
