Il gruppo di cybercriminali noto come Transparent Tribe, anche identificato come APT36, ha recentemente intensificato le sue attività di attacco contro enti governativi indiani, sfruttando file di collegamento desktop malevoli sia su sistemi Windows che su Linux BOSS (Bharat Operating System Solutions). L'accesso iniziale viene ottenuto tramite campagne di spear phishing, ovvero email ingannevoli che contengono allegati apparentemente innocui. In particolare, nei casi che coinvolgono ambienti Linux BOSS, vengono utilizzati file .desktop appositamente manipolati. Questi, una volta aperti dalla vittima, scaricano ed eseguono payload dannosi sul sistema bersaglio.

Transparent Tribe è ritenuto di origine pakistana e si caratterizza per una lunga storia di attacchi verso istituzioni governative indiane, spesso tramite l’utilizzo di remote access trojan (RAT) come Poseidon. La tecnica attuale si distingue per la sua sofisticazione, poiché consente al gruppo di colpire più piattaforme e garantire accesso persistente agli ambienti compromessi.

Catena d’attacco e tecniche di compromissione

La catena d’attacco inizia con email di phishing mascherate da avvisi di meeting, che in realtà presentano file di collegamento desktop Linux camuffati da documenti PDF. Questi file, una volta eseguiti, lanciano uno shell script che scarica da un server remoto un file codificato in esadecimale, lo salva come binario ELF e, per depistare l’utente, apre un PDF falso tramite Mozilla Firefox. Il malware, realizzato in Go, comunica con un server C2 (command-and-control), consentendo agli attaccanti di ricevere comandi, scaricare ulteriori payload ed esfiltrare dati. Per mantenere la persistenza nel sistema, viene creato un job cron che riattiva il payload dopo ogni riavvio o chiusura del processo.

Le analisi di società di cybersecurity confermano che il malware effettua anche attività di ricognizione del sistema, implementando tecniche anti-debug e anti-sandbox per eludere gli strumenti di analisi automatica. L’obiettivo finale è la raccolta di dati, la sottrazione di credenziali e la possibilità di movimento laterale all’interno della rete.

Tattiche recenti e focus su credenziali

Negli attacchi più recenti, gli attori di Transparent Tribe hanno anche utilizzato domini simili a quelli originali (typo-squatting) e server localizzati in Pakistan per aumentare le probabilità di successo e aggirare i controlli di sicurezza. Particolare attenzione viene riservata alla compromissione della soluzione di autenticazione a due fattori Kavach, ampiamente usata dalle agenzie governative indiane, confermando la costanza e la pericolosità delle campagne di phishing e credential theft di questo gruppo.