APT36 implanta malware ELF baseado em Python em ataques direcionados a agências governamentais indianas

APT36 implanta malware ELF baseado em Python em ataques direcionados a agências governamentais indianas

O grupo de ciberespionagem ligado ao Paquistão APT36 (Transparent Tribe) intensificou sua campanha contra instituições governamentais indianas com a implantação de um sofisticado malware ELF baseado em Python, projetado especificamente para comprometer ambientes operacionais BOSS baseados em Linux, de acordo com uma pesquisa publicada pela CYFIRMA.

O ator da ameaça, historicamente focado em sistemas Windows, demonstrou maior maturidade técnica por meio de ferramentas multiplataforma que ignoram os controles de segurança convencionais em infraestruturas governamentais heterogêneas.

A campanha aproveita spearphishing e-mails contendo arquivos de atalho do Linux transformados em armas que se disfarçam de documentos legítimos enquanto executam cargas maliciosas em segundo plano.

O ataque é iniciado por meio de Analysis_Proc_Report_Gem_2025.zip, um arquivo que contém um arquivo de atalho .desktop malicioso que aparece como um documento padrão.

Ao contrário da distribuição direta de binários ELF facilmente detectáveis, o APT36 oculta lógica maliciosa em strings codificadas em Base64 dentro do campo Exec do atalho.

Quando executado, o arquivo exibe um PDF falso protegido por senha enquanto recupera silenciosamente cargas adicionais da infraestrutura controlada pelo invasor.

A entrada .desktop baixa componentes de dois locais principais: um documento isca da lionsdenim[.]xyz e cargas maliciosas de 185.235.137.90:32587.

Os arquivos recuperados incluem swcbc, um executável ELF de 64 bits, e swcbc.sh, um script shell que permite persistência, ambos salvos em /tmp/ com permissões de execução antes de iniciar em segundo plano.

Análise estática revela o binário ELF é uma ferramenta de administração remota (RAT) baseada em Python compilada com PyInstaller, projetada para operação perfeita em ambientes Linux e Windows.

Entretanto, como o PDF é protegido por senha, o LibreOffice exibe uma solicitação de senha, que pode chamar a atenção do usuário.

O malware estabelece persistência por meio de serviços de usuário do systemd no Linux e modificações de registro no Windows, garantindo a sobrevivência após reinicializações sem exigir privilégios elevados.

Após a execução, o implante realiza um desempenho abrangente reconhecimento do sistemacoletando detalhes do sistema operacional, nome do host, nome de usuário e informações de rede, antes de gerar um identificador exclusivo de endereços MAC e nomes de usuário.

Esse mecanismo de rastreamento permite que os invasores mantenham a identificação persistente dos hosts comprometidos em diversas sessões operacionais.

O RAT suporta um conjunto completo de comandos, incluindo passagem de diretório, recursos de transferência de arquivos, execução arbitrária de comandos, Código Python injeção, captura de tela e arquivamento automatizado de dados para exfiltração em massa.

Os invasores podem implantar remotamente cargas adicionais, coletar documentos confidenciais ou executar comandos shell com acesso total ao sistema.

Os metadados binários indicam que ele foi construído em um ambiente Debian Linux usando GCC 4.9.2 e está vinculado ao GLIBC 2.3.4 para a arquitetura AMD64.

A infraestrutura da campanha exibe padrões clássicos de segurança operacional de curta duração. Domínio leão jeans[.]xyz, registrado pelo Namecheap em 3 de novembro de 2025, tem 22 dias e resolve para 67.223.118.206, um servidor baseado em Los Angeles que hospeda mais de 275 domínios.

O servidor de entrega de carga útil 185.235.137.90 opera em Frankfurt, Alemanha, e foi confirmado como malicioso por múltiplas fontes de inteligência de ameaças.

A escolha do domínio de nível superior .xyz reflete a preferência do APT36 por opções de registro de baixo custo e minimamente verificadas que proporcionam flexibilidade operacional e rápida rotatividade de infraestrutura, complicando os esforços de remoção e atribuição.

Implicações Estratégicas

Esta campanha marca uma evolução significativa na doutrina operacional do APT36, indo além do tradicional Malware do Windows para adotar ferramentas direcionadas ao Linux adaptadas para o sistema operacional BOSS nativo da Índia.

A capacidade do grupo de personalizar técnicas de entrega com base nos ecossistemas das vítimas demonstra um profundo conhecimento das implementações tecnológicas regionais e aumenta as perspectivas de persistência a longo prazo em redes governamentais críticas.

A incorporação de mecanismos de persistência baseados em systemd, compatibilidade entre plataformas e técnicas adaptativas de phishing ressaltam um ator de ameaça maduro e comprometido em superar a diversidade de plataformas.

Este desenvolvimento representa riscos elevados para agências governamentais interconectadas e parceiros terceirizados que operam ambientes híbridos Windows-Linux.

As equipes de segurança devem monitorar as execuções de arquivos .desktop contendo comandos incorporados, rastrear criações de serviços de usuário do systemd e sinalizar conexões de rede com os IOCs identificados.

As organizações que usam BOSS Linux devem implementar a lista de permissões de aplicativos, restringir a execução de macros do LibreOffice e implantar recursos de detecção de endpoints capazes de identificar binários empacotados pelo PyInstaller.

A campanha destaca a necessidade urgente de detecção de ameaças específicas do Linux em setores governamentais tradicionalmente focados na segurança do Windows, à medida que o APT36 continua a refinar as suas capacidades para recolha sustentada de inteligência em toda a infra-estrutura crítica da Índia.

INDICADORES DE COMPROMISSO

S. Não Indicador Observações
1 defa2e29e45168471ce451196e1617b9659b3553b125e5464b1db032d7eac90a Bloquear
2 5ff9777aac434cae5995bf26979b892197e3f0e521c73f127c2e2628e84ef509 Bloquear
3 40a59422fa486c7ae214d6e816c2fd00bf4d75c081993a49c4bc22bb0165b7fe Bloquear
4 4f4e795555740038904bc6365c58536a660d7f3206ac1a4e89612a9fdf97f6dd Monitor
5 leão jeans[.]xyz Bloquear
6 185[.]235[.]137[.]90 Monitor

Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial emGoogle.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.