El grupo de amenazas Transparent Tribe (APT36), vinculado al gobierno de Pakistán, ha lanzado una nueva oleada de ataques de spear-phishing dirigidos a entidades gubernamentales de la India. Los analistas de la firma de ciberseguridad Sekoia identificaron esta actividad durante agosto y septiembre de 2025, detectando la utilización de un malware de acceso remoto basado en Golang conocido como DeskRAT.
Esta campaña, que muestra una evolución significativa respecto a ataques anteriores, fue también documentada por CYFIRMA a mediados de 2025, confirmando la naturaleza persistente y avanzada de las operaciones de APT36, un actor de amenazas activo desde al menos 2013.
Spear-phishing como puerta de entrada del ataque
El vector inicial de ataque de Transparent Tribe se basa en correos electrónicos de spear-phishing cuidadosamente diseñados para engañar a empleados gubernamentales. Los mensajes incluyen archivos ZIP maliciosos o enlaces a servicios legítimos como Google Drive, que redirigen a la víctima a un archivo infectado.
Dentro del archivo ZIP se oculta un acceso directo de escritorio (.desktop) que ejecuta comandos maliciosos. Al abrirlo, la víctima visualiza un documento PDF señuelo titulado “CDS_Directive_Armed_Forces.pdf”, mientras en segundo plano se ejecuta la carga útil principal: DeskRAT.
El archivo y el PDF son descargados desde un servidor controlado por los atacantes bajo el dominio modgovindia[.]com, que imita portales oficiales indios para parecer legítimo.
DeskRAT: malware multiplataforma con persistencia avanzada
Transparent Tribe ha adaptado DeskRAT para infectar principalmente los sistemas Linux BOSS (Bharat Operating System Solutions), el sistema operativo utilizado por varias agencias gubernamentales en India.
DeskRAT establece un canal de comando y control (C2) mediante WebSockets, lo que le permite comunicarse discretamente con los servidores de los atacantes. Además, implementa cuatro mecanismos de persistencia distintos para mantenerse activo incluso tras reinicios del sistema:
-
Creación de un servicio systemd.
-
Configuración de una tarea programada (cron job).
-
Inclusión del malware en la carpeta autostart de Linux.
-
Modificación del archivo .bashrc para ejecutar scripts desde $HOME/.config/system-backup/.
Una vez operativo, DeskRAT ejecuta comandos para recolectar información, listar directorios, exfiltrar archivos menores de 100 MB y desplegar cargas adicionales escritas en Python o Shell.
Según Sekoia, los servidores C2 empleados son denominados “servidores sigilosos”, ya que no aparecen en los registros DNS públicos, lo que dificulta su rastreo y neutralización.
Evolución y sofisticación: el uso de StealthServer en Windows y Linux
Investigaciones paralelas de QiAnXin XLab revelaron que Transparent Tribe está expandiendo su alcance hacia entornos Windows, utilizando una variante de DeskRAT conocida como StealthServer, también escrita en Golang.
Se han detectado tres versiones de StealthServer para Windows:
-
Windows-V1 (julio 2025): incorpora técnicas antianálisis y antidepuración, mantiene persistencia mediante tareas programadas y usa TCP para comunicaciones C2.
-
Windows-V2 (agosto 2025): añade detección de herramientas de depuración como x64dbg o IDA, reforzando su evasión.
-
Windows-V3 (agosto 2025): adopta WebSocket para las comunicaciones, igual que DeskRAT.
Para Linux, se identificaron dos variantes: una versión temprana de DeskRAT con el comando extra “welcome” y otra que utiliza HTTP POST cifrado para transferir archivos exfiltrados desde el directorio raíz.
Estas similitudes apuntan a una estrategia multiplataforma perfectamente coordinada, donde cada componente comparte estructuras y protocolos de comunicación con el fin de maximizar la persistencia y el control remoto.
APT36 y la expansión del ciberespionaje en Asia
El resurgimiento de Transparent Tribe (APT36) se enmarca dentro de un panorama regional de ciberespionaje más amplio, en el que participan múltiples grupos avanzados del sur y este de Asia.
Entre las campañas recientes destacan:
-
Bitter APT, atacando entidades gubernamentales y militares en China y Pakistán mediante documentos Excel maliciosos que explotan CVE-2025-8088.
-
SideWinder, centrado en el sector marítimo y ministerios del sur de Asia dentro de la operación “SouthNet”.
-
OceanLotus (APT-Q-31), grupo vietnamita que despliega el framework Havoc en ataques a gobiernos del sudeste asiático.
-
Mysterious Elephant (APT-K-47), activo a inicios de 2025, que combina PowerShell, BabShell y Remcos RAT para infiltrarse en ministerios de relaciones exteriores.
Estos actores comparten tácticas y objetivos similares: robo de información sensible, infiltración prolongada en infraestructuras críticas y espionaje geopolítico.
Transparent Tribe refuerza su arsenal y sofisticación
El grupo Transparent Tribe (APT36) demuestra una evolución constante en sus tácticas y herramientas, consolidándose como una de las amenazas persistentes avanzadas más activas del sur de Asia.
Su combinación de DeskRAT y StealthServer, ambos desarrollados en Golang, junto con técnicas sigilosas y mecanismos de persistencia complejos, revela un esfuerzo sostenido por mantener acceso prolongado a sistemas gubernamentales indios.
La comunidad de ciberseguridad debe mantener una vigilancia continua, reforzar los mecanismos de autenticación, y capacitar al personal frente a ataques de spear-phishing, principal punto de entrada para APT36.
Fuente: The Hacker News
