【态势情报】APT36针对Linux工作站的Sindoor Dropper网络间谍活动分析

作者：杰润鸿远发布时间：2025-09-05 点击数：

事件摘要

2025年9月2日，APT36（又称Transparent Tribe）针对印度组织发起了一场复杂的网络间谍活动，使用Sindoor Dropper恶意软件。该活动通过鱼叉式钓鱼攻击传播，利用伪装成PDF的.desktop文件进行初始访问。攻击者通过多阶段的解密和下载过程，最终部署MeshAgent远程管理工具，实现对Linux工作站的完全控制。此次攻击主要针对使用BOSS Linux及其他Linux桌面的政府和国防实体，可能影响教育及相关承包商。该活动显示出对Linux系统的战略转变，利用合法管理工具的滥用使得检测和响应变得复杂。攻击的影响评估为高，成功感染后，攻击者可获得敏感网络的远程交互访问，可能导致凭证窃取、横向移动和数据外泄。

事件概况

事件时间：2025-09	 
目标国家/地区：印度
事件类型：APT事件 数据窃取事件
目标行业：印度政府
事件影响：系统瘫痪 数据泄露 业务中断
目标机构：国防实体、印度政府
情报来源：cybersecsentinel.com
黑客组织：Mythic Leopard

关键结论

事件背景

一项名为Sindoor Dropper的复杂网络间谍活动正在积极针对印度组织，特别是政府和国防实体。该活动由APT36（又称Transparent Tribe）实施，显示出战略转变，重点关注Linux工作站。攻击者通过鱼叉式钓鱼发送武器化的.desktop文件，初始访问通过伪装的PDF文件实现，目标包括使用BOSS Linux及其他Linux桌面的机构，可能还涉及教育和相关承包商。

攻击概要

攻击者利用Linux .desktop机制，采用鱼叉式钓鱼ZIP文件，内含伪装成PDF的.desktop启动器。用户双击后，启动器打开一个无害的PDF，同时在后台执行多阶段命令，恢复损坏的解密器，解密下载器，进行反虚拟化检查，最终部署MeshAgent以实现完全远程控制。该活动使用Sindoor Dropper（基于Go的多阶段下拉器）和MeshAgent远程管理工具，具有高复杂性和隐蔽性。攻击链通过Base64和DES CBC进行字符串混淆，且每个阶段都进行反分析检查，确保持久性和隐蔽性。

事件影响

该网络攻击的成功感染将使攻击者获得对敏感网络中Linux工作站的远程交互访问，可能导致凭证盗窃、横向移动和数据外泄。影响范围广泛，尤其是在Linux桌面环境中，弱附件控制的情况下，风险较高。印度政府、国防及相关承包商和教育机构面临的风险显著增加。

应对措施

针对该安全事件的应对措施包括提高用户意识，教育Linux用户识别.desktop文件的潜在风险；实施邮件过滤，隔离包含.desktop文件的压缩包；加强终端保护，要求明确信任后才能运行下载的.desktop文件；部署Linux工作站的EDR，监控可疑的.desktop执行行为；以及实施多因素认证，监控异常登录行为等。