Se ha observado que un actor de amenazas del vinculo con Pakistán apunta a entidades gubernamentales de la India como parte de ataques de phishing diseñados para entregar un malware basado en Golang conocido como DESCRITO.
La actividad, observada en agosto y septiembre de 2025 por Sekoia, se ha atribuido a Transparent Tribe (igualmente conocido como APT36), un conjunto de piratería patrocinado por el estado que se sabe que está activo desde al menos 2013. Asimismo se apoyo en una campaña antedicho divulgada por CYFIRMA en agosto de 2025.
Las cadenas de ataque implican el remesa de correos electrónicos de phishing que contienen un archivo ZIP adjunto o, en algunos casos, un enlace que apunta a un archivo alojado en servicios legítimos en la nubarrón como Google Drive. Interiormente del archivo ZIP hay un archivo de escritorio desconfiado que incorpora comandos para mostrar un PDF señuelo («CDS_Directive_Armed_Forces.pdf») usando Mozilla Firefox mientras se ejecuta simultáneamente la carga útil principal.
Los dos artefactos se extraen de un servidor foráneo «modgovindia(.)com» y se ejecutan. Como antiguamente, la campaña está diseñada para apuntar a los sistemas Linux BOSS (Bharat Operating System Solutions), con el troyano de camino remoto capaz de establecer comando y control (C2) utilizando WebSockets.
El malware admite cuatro métodos diferentes de persistencia, incluida la creación de un servicio systemd, la configuración de una tarea cron, la añadido del malware al directorio de inicio espontáneo de Linux («$HOME/.config/autostart») y la configuración de .bashrc para iniciar el troyano mediante un script de shell escrito en el directorio «$HOME/.config/system-backup/».
DeskRAT admite cinco comandos diferentes:
- silbidopara expedir un mensaje JSON con la marca de tiempo contemporáneo, contiguo con «pong» al servidor C2
- sístole del corazónpara expedir un mensaje JSON que contenga heartbeat_response y una marca de tiempo
- explorar_archivospara expedir listados de directorio
- inicio_colecciónpara agenciárselas y expedir archivos que coincidan con un conjunto predefinido de extensiones y que tengan un tamaño inferior a 100 MB
- subir_ejecutarpara soltar una carga útil adicional de Python, shell o escritorio y ejecutarla
«Los servidores C2 de DeskRAT se denominan servidores sigilosos», dijo la empresa francesa de ciberseguridad. «En este contexto, un servidor oculto se refiere a un servidor de nombres que no aparece en ningún registro NS visible públicamente para el dominio asociado».
«Si proporcionadamente las campañas iniciales aprovecharon plataformas legítimas de almacenamiento en la nubarrón, como Google Drive, para distribuir cargas bártulos maliciosas, TransparentTribe ahora ha pasado a utilizar servidores de prueba dedicados».
Los hallazgos siguen a un referencia de QiAnXin XLab, que detalla el objetivo de la campaña de los puntos finales de Windows con una puerta trasera Golang que rastrea como StealthServer a través de correos electrónicos de phishing que contienen archivos adjuntos de escritorio con trampas explosivas, lo que sugiere un enfoque multiplataforma.
Vale la pena señalar que StealthServer para Windows viene en tres variantes:
- StealthServer Windows-V1 (Observado en julio de 2025), que emplea varias técnicas antianálisis y antidepuración para evitar la detección; establece persistencia mediante tareas programadas, un script de PowerShell anejo a la carpeta de Inicio de Windows y cambios en el Registro de Windows; y utiliza TCP para comunicarse con el servidor C2 para enumerar archivos y cargar/descargar archivos específicos
- StealthServer Windows-V2 (Observado a finales de agosto de 2025), que agrega nuevas comprobaciones antidepuración para herramientas como OllyDbg, x64dbg e IDA, manteniendo la funcionalidad intacta.
- StealthServer Windows-V3 (Observado a finales de agosto de 2025), que utiliza WebSocket para la comunicación y tiene la misma funcionalidad que DeskRAT
XLab dijo que igualmente observó dos variantes de Linux de StealthServer, una de las cuales es DeskRAT con soporte para un comando adicional llamado «bienvenido». La segunda interpretación de Linux, por otro flanco, utiliza HTTP para las comunicaciones C2 en motivo de WebSocket. Cuenta con tres comandos:
- navegarpara enumerar archivos en un directorio específico
- subirpara cargar un archivo específico
- ejecutarpara ejecutar un comando bash
Asimismo sondeo recursivamente archivos que coincidan con un conjunto de extensiones directamente desde el directorio raíz («https://thehackernews.com/») y luego los transmite cuando los encuentra en un formato oculto a través de una solicitud HTTP POST a «modgovindia(.)space:4000». Esto indica que la modificación de Linux podría acontecer sido una interpretación antedicho de DeskRAT, ya que este postrer cuenta con un comando «start_collection» dedicado para filtrar archivos.
«Las operaciones del conjunto son frecuentes y se caracterizan por una amplia variedad de herramientas, numerosas variantes y una adhesión cadencia de entrega», afirmó QiAnXin XLab.
Ataques de otros grupos de amenazas del sur y el este de Asia
El explicación se produce en medio del descubrimiento de varias campañas orquestadas por actores de amenazas centrados en el sur de Asia en las últimas semanas.
- Una campaña de phishing emprendida por Bitter APT dirigida a los sectores público, de energía eléctrica y marcial en China y Pakistán con archivos adjuntos maliciosos de Microsoft Excel o archivos RAR que explotan CVE-2025-8088 para finalmente eliminar un implante de C# llamado «cayote.log» que puede compendiar información del sistema y ejecutar ejecutables arbitrarios recibidos de un servidor controlado por un atacante.
- Una nueva ola de actividad dirigida emprendida por SideWinder dirigida al sector transatlántico y otros sectores verticales en Pakistán, Sri Lanka, Bangladesh, Nepal y Myanmar con portales de cosecha de credenciales y documentos señuelo armados que entregan malware multiplataforma como parte de una campaña «concentrada» cuyo nombre en código es Operación SouthNet.
- Una campaña de ataque emprendida por un conjunto de hackers formado con Vietnam conocido como OceanLotus (igualmente conocido como APT-Q-31) que ofrece el situación post-explotación Havoc en ataques dirigidos a empresas y departamentos gubernamentales en China y los países vecinos del sudeste oriental.
- Una campaña de ataque emprendida por Mysterious Elephant (igualmente conocido como APT-K-47) a principios de 2025 que utiliza una combinación de kits de explotación, correos electrónicos de phishing y documentos maliciosos para obtener camino original a entidades gubernamentales y sectores de asuntos exteriores en Pakistán, Afganistán, Bangladesh, Nepal, India y Sri Lanka utilizando un script de PowerShell que elimina BabShell (un shell inverso de C++), que luego inicia MemLoader HidenDesk (un cargador que ejecuta una carga útil Remcos RAT en la memoria) y MemLoader Edge (otro cargador desconfiado que incorpora VRat, una modificación del RAT vxRat de código descubierto).
En particular, estas intrusiones igualmente se han centrado en extraer las comunicaciones de WhatsApp de los hosts comprometidos utilizando una serie de módulos (a asimilar, Uplo Exfiltrator y Stom Exfiltrator) que se dedican a capturar varios archivos intercambiados a través de la popular plataforma de correo.
Otra útil utilizada por el actor de amenazas es ChromeStealer Exfiltrator, que, como su nombre lo indica, es capaz de cosechar cookies, tokens y otra información confidencial de Google Chrome, así como desviar archivos relacionados con WhatsApp.
La divulgación muestra una imagen de un conjunto de hackers que ha evolucionado más allá de subordinarse de herramientas de otros actores de amenazas hasta convertirse en una operación de amenazas sofisticada, empuñando su propio cantera de malware personalizado. Se sabe que el adversario comparte superposiciones tácticas con Origami Elephant, Confucius y SideWinder, todos los cuales se considera que operan teniendo en cuenta los intereses indios.
«Mysterious Elephant es un conjunto de Amenaza Persistente Descubierta mucho sofisticado y activo que representa una amenaza significativa para las entidades gubernamentales y los sectores de asuntos exteriores en la región de Asia y el Pacífico», dijo Kaspesky. «El uso de herramientas personalizadas y de código descubierto, como BabShell y MemLoader, resalta su experiencia técnica y su voluntad de modificar en el explicación de malware reformista».
