APT36 атакует индийские системы на ОС BOSS Linux с помощью модифицированных файлов автозапуска

Кампания начинается с таргетированных фишинговых рассылок. Для атак на системы под управлением Linux BOSS используются специально подготовленные файлы с расширением .desktop - ярлыки, которые при открытии загружают и запускают вредоносные нагрузки. Гибкость в выборе механизмов доставки позволяет группировке повышать шансы на успех атаки, сохраняя при этом устойчивый доступ к критически важной инфраструктуре и уклоняясь от традиционных средств защиты.

Аналитики отмечают, что APT36 продолжает совершенствовать свои методы, адаптируясь к разнородным операционным средам и создавая значительные challenges для национальной безопасности. В рамках текущей кампании группа использует архив с именем «Meeting_Notice_Ltr_ID1543ops.pdf_.zip», внутри которого находится файл «Meeting_Ltr_ID1543ops.pdf.desktop». Данный файл уже был помечен на платформе VirusTotal как опасный несколькими антивирусными системами.

Файлы .desktop сконструированы таким образом, чтобы имитировать ярлык документа PDF. В поле Exec= внедрена последовательность команд, которые автоматически выполняются при запуске файла. Сначала создается временный файл в директории /tmp, затем с помощью curl silently загружается шестнадцатерично закодированный файл с контролируемого злоумышленниками сервера. После декодирования с помощью утилиты xxd полученный бинарный файл делается исполняемым и запускается в фоновом режиме. Для отвлечения внимания жертвы одновременно открывается браузер Firefox с безвредным PDF-документом.

Важной особенностью данной атаки является использование параметра X-GNOME-Autostart-enabled=true, который обеспечивает автоматический запуск вредоносного кода при каждом входе пользователя в систему. Это позволяет злоумышленникам добиваться persistence даже после перезагрузки устройства.

В рамках инфраструктуры группы был идентифицирован домен securestore[.]cv, зарегистрированный 27 июля 2025 года через Namecheap. Также используется домен modgovindia[.]space, связанный с IP-адресом 45[.]141[.]58[.]199 и зарегистрированный 8 июля того же года. Оба домена оцениваются как элементы вредоносной инфраструктуры, типичной для кампаний APT36.

Вредоносная программа, загружаемая в ходе атаки, представляет собой ELF-файл (Executable and Linkable Format), статически скомпонованный и написанный на языке Go. При запуске она активирует службу system-update.service для текущего пользователя и добавляет задание в cron для автоматического выполнения при каждом перезапуске системы. Далее устанавливается связь с C2-сервером (Command and Control) по порту 4000, через который происходит передача собранных данных и получение команд.

Группа APT36, также известная под названием Mythic Leopard, действует более десяти лет и, по оценкам экспертов, пользуется поддержкой государства. Её основными целями являются правительственные, военные и дипломатические организации Индии, хотя в последнее время наблюдается расширение интереса в сторону образовательных учреждений, оборонных предприятий и гражданского общества.

Использование файлов .desktop для атак на системы под управлением BOSS Linux свидетельствует о тактическом сдвиге в сторону эксплуатации локальных технологий. Это, в сочетании с традиционными Windows-ориентированными и мобильными вредоносами, демонстрирует намерение группы диверсифицировать векторы атак и обеспечивать устойчивое присутствие даже в защищенных средах.

В заключение, обнаруженная кампания подчеркивает необходимость усиления контроля за фишинговыми рассылками и повышения уровня защиты Linux-систем, особенно в государственном секторе.

IPv4

• 45.141.58.199

Domains

• modgovindia.space
• securestore.cv

SHA256

• 508a2bcaa4c511f7db2d4491bb76effaa7231d66110c28632b95c77be40ea6b1
• 8f8da8861c368e74b9b5c1c59e64ef00690c5eff4a95e1b4fcf386973895bef1
• e689afee5f7bdbd1613bd9a3915ef2a185a05c72aaae4df3dee988fa7109cb0b