APT36 richt zich op de Indiase overheid met op Golang gebaseerde DeskRAT-malwarecampagne

Cyberbeveiliging
DeskRAT Malware Campaign

Er is waargenomen dat een Pakistaanse nexus-bedreigingsacteur zich richt op Indiase overheidsinstanties als onderdeel van spearphishing-aanvallen die zijn ontworpen om op Golang gebaseerde malware af te leveren die bekend staat als BureauRAT.

De activiteit, waargenomen in augustus en september 2025 door Sekoia, wordt toegeschreven aan Transparent Tribe (ook bekend als APT36), een door de staat gesponsorde hackgroep waarvan bekend is dat deze al sinds 2013 actief is. De activiteit bouwt ook voort op een eerdere campagne die CYFIRMA in augustus 2025 bekendmaakte.

De aanvalsketens omvatten het verzenden van phishing-e-mails met een ZIP-bestandsbijlage, of in sommige gevallen een link die verwijst naar een archief dat wordt gehost op legitieme cloudservices zoals Google Drive. In het ZIP-bestand bevindt zich een kwaadaardig desktopbestand dat opdrachten insluit om een ​​lok-PDF (“CDS_Directive_Armed_Forces.pdf”) weer te geven met behulp van Mozilla Firefox, terwijl tegelijkertijd de hoofdpayload wordt uitgevoerd.

Beide artefacten worden van een externe server “modgovindia(.)com”) gehaald en uitgevoerd. Net als voorheen is de campagne ontworpen om zich te richten op BOSS (Bharat Operating System Solutions) Linux-systemen, waarbij de trojan voor externe toegang in staat is command-and-control (C2) tot stand te brengen met behulp van WebSockets.

De malware ondersteunt vier verschillende methoden voor persistentie, waaronder het maken van een systemd-service, het opzetten van een cron-job, het toevoegen van de malware aan de Linux autostart-map ($HOME/.config/autostart) en het configureren van .bashrc om de trojan te starten door middel van een shell-script geschreven naar de map “$HOME/.config/system-backup/”.

DeskRAT ondersteunt vijf verschillende opdrachten –

  • pingom een ​​JSON-bericht met de huidige tijdstempel, samen met “pong” naar de C2-server te sturen
  • hartslagom een ​​JSON-bericht te verzenden met heartbeat_response en een tijdstempel
  • blader_bestandenom directoryvermeldingen te verzenden
  • start_collectieom bestanden te zoeken en te verzenden die overeenkomen met een vooraf gedefinieerde reeks extensies en die kleiner zijn dan 100 MB
  • upload_executeom een ​​extra Python-, shell- of desktop-payload te verwijderen en uit te voeren

“De C2-servers van DeskRAT worden stealth-servers genoemd”, aldus het Franse cyberbeveiligingsbedrijf. “In deze context verwijst een stealth-server naar een naamserver die niet voorkomt in openbaar zichtbare NS-records voor het bijbehorende domein.”

“Terwijl de eerste campagnes gebruik maakten van legitieme cloudopslagplatforms zoals Google Drive om kwaadaardige ladingen te verspreiden, is TransparentTribe nu overgestapt op het gebruik van speciale staging-servers.”

De bevindingen volgen op een rapport van QiAnXin XLab, waarin gedetailleerd werd beschreven hoe de campagne zich richtte op Windows-eindpunten met een Golang-achterdeur die het als StealthServer volgt via phishing-e-mails met boobytraps Desktop-bestandsbijlagen, wat duidt op een platformonafhankelijke focus.

Het is vermeldenswaard dat StealthServer voor Windows in drie varianten verkrijgbaar is:

  • StealthServer Windows-V1 (Waargenomen in juli 2025), waarbij verschillende anti-analyse- en anti-debug-technieken worden gebruikt om detectie te voorkomen; zorgt voor persistentie met behulp van geplande taken, een PowerShell-script toegevoegd aan de Windows Opstartmap en wijzigingen in het Windows-register; en gebruikt TCP om met de C2-server te communiceren om bestanden op te sommen en specifieke bestanden te uploaden/downloaden
  • StealthServer Windows-V2 (Waargenomen eind augustus 2025), waarbij nieuwe anti-debug-controles worden toegevoegd voor tools als OllyDbg, x64dbg en IDA, terwijl de functionaliteit intact blijft
  • StealthServer Windows-V3 (Waargenomen eind augustus 2025), dat WebSocket gebruikt voor communicatie en dezelfde functionaliteit heeft als DeskRAT

XLab zei dat het ook twee Linux-varianten van StealthServer heeft waargenomen, waaronder DeskRAT met ondersteuning voor een extra commando genaamd “welkom”. De tweede Linux-versie gebruikt daarentegen HTTP voor C2-communicatie in plaats van WebSocket. Het beschikt over drie commando’s –

  • bladerenom bestanden onder een opgegeven map op te sommen
  • uploadenom een ​​opgegeven bestand te uploaden
  • uitvoerenom een ​​bash-commando uit te voeren

Het zoekt ook recursief naar bestanden die overeenkomen met een reeks extensies rechtstreeks vanuit de hoofdmap (“https://thehackernews.com/”) en verzendt deze vervolgens zodra het ze tegenkomt in een gecodeerd formaat via een HTTP POST-verzoek naar “modgovindia(.)space:4000.” Dit geeft aan dat de Linux-variant een eerdere versie van DeskRAT had kunnen zijn, aangezien deze laatste een speciale “start_collection”-opdracht bevat om bestanden te exfiltreren.

“De activiteiten van de groep zijn frequent en worden gekenmerkt door een grote verscheidenheid aan tools, talrijke varianten en een hoge leveringsfrequentie”, aldus QiAnXin XLab.

Aanvallen van andere Zuid- en Oost-Aziatische dreigingsclusters

De ontwikkeling komt te midden van de ontdekking van verschillende campagnes die de afgelopen weken zijn georkestreerd door op Zuid-Azië gerichte dreigingsactoren –

  • Een phishing-campagne ondernomen door Bitter APT gericht op de overheid, de elektriciteitssector en de militaire sectoren in China en Pakistan met kwaadaardige Microsoft Excel-bijlagen of RAR-archieven die CVE-2025-8088 exploiteren om uiteindelijk een C#-implantaat genaamd “cayote.log” te laten vallen dat systeeminformatie kan verzamelen en willekeurige uitvoerbare bestanden kan uitvoeren die zijn ontvangen van een door een aanvaller bestuurde server.
  • Een nieuwe golf van gerichte activiteiten van SideWinder gericht op de maritieme sector en andere branches in Pakistan, Sri Lanka, Bangladesh, Nepal en Myanmar met portalen voor het verzamelen van inloggegevens en bewapende lokdocumenten die malware op meerdere platforms leveren als onderdeel van een ‘geconcentreerde’ campagne met de codenaam Operation SouthNet.
  • Een aanvalscampagne uitgevoerd door een aan Vietnam verbonden hackgroep, bekend als OceanLotus (ook bekend als APT-Q-31), die het Havoc-post-exploitatieframework levert bij aanvallen gericht op bedrijven en overheidsdepartementen in China en aangrenzende Zuidoost-Aziatische landen.
  • Een aanvalscampagne die begin 2025 werd ondernomen door Mysterious Elephant en die gebruikmaakt van een combinatie van exploitkits, phishing-e-mails en kwaadaardige documenten om initiële toegang te krijgen tot beoogde overheidsinstanties en sectoren van buitenlandse zaken in Pakistan, Afghanistan, Bangladesh, Nepal, India en Sri Lanka met behulp van een PowerShell-script dat BabShell (een omgekeerde shell in C++) verwijdert, die vervolgens MemLoader HidenDesk (een omgekeerde shell in C++) lanceert. loader die een Remcos RAT-payload in het geheugen uitvoert) en MemLoader Edge (een andere kwaadaardige lader die VRat insluit, een variant van de open-source RAT vxRat).

Deze inbraken hebben zich met name ook gericht op het exfiltreren van WhatsApp-communicatie van gecompromitteerde hosts met behulp van een aantal modules – namelijk Uplo Exfiltrator en Stom Exfiltrator – die zijn gewijd aan het vastleggen van verschillende bestanden die worden uitgewisseld via het populaire berichtenplatform.

Een ander hulpmiddel dat door de bedreigingsacteur wordt gebruikt, is ChromeStealer Exfiltrator, die, zoals de naam al aangeeft, in staat is cookies, tokens en andere gevoelige informatie uit Google Chrome te verzamelen, evenals bestanden gerelateerd aan WhatsApp over te hevelen.

De onthulling schetst een beeld van een hackgroep die is geëvolueerd van het vertrouwen op tools van andere bedreigingsactoren naar een geavanceerde dreigingsoperatie, die een eigen arsenaal aan op maat gemaakte malware hanteert. Het is bekend dat de tegenstander tactische overlappingen deelt met Origami Elephant, Confucius en SideWinder, die naar verwachting allemaal opereren met Indiase belangen in gedachten.

“Mysterious Elephant is een zeer geavanceerde en actieve Advanced Persistent Threat-groep die een aanzienlijke bedreiging vormt voor overheidsinstanties en sectoren van buitenlandse zaken in de regio Azië-Pacific”, aldus Kaspesky. “Het gebruik van op maat gemaakte en open-source tools, zoals BabShell en MemLoader, benadrukt hun technische expertise en bereidheid om te investeren in de ontwikkeling van geavanceerde malware.”

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Apple iPhone 17 Pro versus Google Pixel 10

We worden verliefd op chatbots en ze rekenen erop

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]