Группировка Transparent Tribe использует .desktop-файлы для доставки вредоносного ПО DeskRAT на Linux в атаках на индийскую оборонку

Вредонос распространяется через сервер, расположенный по адресу bossmaya[.]xyz, зарегистрированный примерно за девять дней до публичного раскрытия атаки. На этом сервере размещён файл с расширением .desktop размером 1,4 мегабайта. Стандартный файл такого типа весит около ста байт, но здесь увеличение объёма достигнуто за счёт встроенной иконки в формате PNG размером 500 килобайт (для имитации документа) и ненужной padding-заполнителя, чтобы вложение казалось весомым при беглом просмотре. Однако настоящая угроза скрыта в поле Exec=, где размещена команда на языке оболочки bash.

Эта команда представляет собой трёхступенчатый декодер: сначала она обрабатывает 896-символьный блок в формате base64, затем преобразует его из шестнадцатеричного представления с помощью утилиты xxd и, наконец, снова декодирует из base64. В результате получается короткий скрипт для загрузки полезной нагрузки (вредоносного исполняемого файла) с того же сервера. Скрипт использует утилиту curl для получения файла client.txt, затем декодирует его из формата ASCII85 через Python и распаковывает архиватором bzip2. Полученный бинарный файл сохраняется в каталоге /tmp с именем, основанным на временной метке, и запускается в фоновом режиме. Примечательно, что для этого не нужны никакие компиляторы: Python и bzip2 предустановлены во всех современных дистрибутивах Linux.

Конечная полезная нагрузка - это исполняемый файл ELF для архитектуры x86_64 размером более 6 мегабайт, написанный на языке Go версии 1.24.3. Он использует библиотеки gorilla/websocket для организации канала связи и google/uuid для генерации уникальных идентификаторов сессии. После запуска вредонос устанавливает соединение с командным центром (C2) по протоколу WebSocket (протокол двусторонней связи через постоянное соединение) на порт 8080 сервера 85.137.249[.]224, расположенного в Молдове через хостинг-провайдера AlexHost. Для маршрутизации трафика используются четыре домена, которые через HTTP-заголовок Host направляют запросы на этот же IP-адрес. При подключении C2 отправляет приветственное сообщение в формате JSON, где время сервера указано в часовом поясе UTC-7, характерном для западного побережья США. Это необычно для молдавского сервера и может быть либо случайной настройкой, либо попыткой имитации присутствия за океаном.

Специалисты, проводившие анализ, обнаружили серьёзную оплошность в операционной безопасности злоумышленников. В скомпилированном бинарном файле сохранились полные пути к исходному коду, которые ведут к рабочей станции под управлением Windows. Строки из программы содержат пути вида D:/bossmaya/our/newlinuxblkul/client/main.go и C:/Users/hp/go/pkg/mod/… Это прямо указывает, что разработчик работает под именем пользователя hp на диске D: в папке, названной в честь домена доставки. Более того, название каталога our намекает на то, что проект не является индивидуальным - возможно, у группы есть как минимум один соавтор. Такая утечка информации позволяет составить чёткую картину окружения атакующего, вплоть до версий библиотек и способа сборки.

Инфраструктура врага активно развивается: помимо упомянутых четырёх доменов для коммутации трафика, выявлены ещё два домена - forwindowstesting[.]site и forwindowstesting[.]space, зарегистрированные с разницей в несколько минут в конце 2025 года, а также домен vayusena[.]store, имя которого переводится с санскрита как "Военно-воздушные силы" (это прямой намёк на интерес к индийским ВВС). Все эти домены ведут на второй IP-адрес того же провайдера AlexHost, расположенный во Франции. По данным пассивного DNS, группировка использует эту инфраструктуру как минимум с середины 2024 года, ротируя несколько семейств вредоносного ПО.

Анализ предыдущих кампаний APT36 показывает устойчивую связь тем приманок с реальными событиями в отношениях между Индией и Пакистаном. Например, в мае 2025 года после индийских ударов по целям на территории Пакистана в рамках операции "Синдур" злоумышленники использовали документ, озаглавленный "Предупредительные меры в свете операции Синдур". Осенью того же года приманки были посвящены обострению на границе Пакистана и Афганистана, а в апреле 2026 года - уже упомянутому контракту на поставку тралов для танков. Таким образом, каждая новая волна атак синхронизирована с конкретным информационным поводом, повышая вероятность того, что жертва откроет вложение.

Начиная с 2023 года группа экспериментировала с разными технологическими стеками для атак на Linux: сначала использовался Python и PyInstaller, затем недолго применялся инструмент Poseidon, а сейчас основным агентом стал DeskRAT на Go. Windows-версии CrimsonRAT при этом не были заброшены - идёт параллельное развитие обеих платформ. Для оборонного сектора Индии это означает долгосрочную и целенаправленную угрозу, которая затрагивает не только привычные настольные системы, но и серверы и автоматизированные рабочие места на Linux, часто используемые в военных цепочках поставок.

Последствия успешной атаки могут быть очень серьёзными: от кражи документации по боевым машинам до нарушения работы целых подразделений. Учитывая, что группировка действует как минимум с 2016 года и хорошо документирована многими исследователями информационной безопасности, заказчикам систем защиты рекомендуется обратить особое внимание на контроль запуска .desktop-файлов, а также на обнаружение подозрительных сетевых соединений на нестандартных портах с использованием протокола WebSocket. Слабая операционная безопасность злоумышленников, проявившаяся в сохранении путей компиляции, может дать дополнительные зацепки для блокировки будущих вариантов вредоноса, если аналогичные артефакты будут выявлены в других образцах.

IPv4

• 185.123.102.33
• 45.90.97.211
• 68.65.123.132
• 85.137.249.224
• 85.137.249.243

Domains

• amgrepsales.org
• bossmaya.xyz
• chuchuchacha.shop
• chuchuchacha.xyz
• forwindowstesting.site
• forwindowstesting.space
• makiinindia.online
• makiinindia.xyz
• vayusena.store

URLs

• http://bossmaya.xyz/download.php?file=client.txt
• http://bossmaya.xyz/files/
• http://bossmaya.xyz/files/MoD_letter_update.desktop

WebSocket

• ws://85.137.249.224:8080/ws

MD5

• d3b4347e8e00d85368532901243e9ef9

SHA1

• 1a8d3756d7be400949824cee9462fb2cbac79106
• e7f1e5c9daec683279ec8c752a90821dc2411bf6

SHA256

• 2019fec607e8955b79d194e1c6408e5c50269dac60b6f5864f36814774713361
• 4edbed6228be3369efbc5c38b1c08d2227f907fd5be0de2bacdb4f51fff8a95b
• 5f607374431d77a7398927f45c5d1efc57513250622e23535dbc0a0a0584c3a1
• babe7e80eb65a3d2c393ec6e4e723ae91ecd88c307959eaa08838edf2df30d5b
• d62ad76a9841e710ce783c4f8313f134a1e6a726eb5b441b9cd49c7ae14b251a
• d77dd11f63c978adf10c2ea5fbd2a77e650ae00d19877032b693b154e86d00e4
• f07c7d12459cb63d6661dd6a0b61946484aa5ca53bf5f77454fbb9f9ea2010eb