APT36利用DeskRAT恶意软件攻击印度政府

10月24日，近日，巴基斯坦国家支持的黑客组织Transparent Tribe（APT36）针对印度政府实体发起鱼叉式网络钓鱼攻击，传播基于Golang的DeskRAT恶意软件。该攻击链通过含ZIP附件或Google Drive链接的钓鱼邮件实施，利用Mozilla Firefox显示诱饵PDF文件的同时执行主载荷。DeskRAT通过WebSocket建立C2连接，支持ping、heartbeat等五种命令，并采用systemd服务、cron作业等四种持久性方法。其C2服务器采用隐形设计，未出现在公开NS记录中。此次活动延续了CYFIRMA此前披露的攻击模式，并关联到跨平台后门StealthServer。该后门存在Windows三版本及Linux两变种：Windows-V3版本采用WebSocket通信，与DeskRAT功能一致；Linux变种则通过HTTP通信，具备文件浏览、上传及执行能力，可从根目录递归搜索特定扩展名文件并加密传输。