Pesquisadores identificaram uma campanha de ciber‑espionagem atribuída a APT36 que usa arquivos .desktop weaponizados para distribuir um malware ELF escrito em Python, com foco em instituições governamentais indianas.
Panorama e vetor de entrega
Relatos da investigação — divulgados via Cyber Security News com análise da Cyfirma — mostram que a campanha se apoia em spear‑phishing contendo arquivos compactados que, ao serem extraídos, apresentam um atalho Linux (.desktop) aparentemente legítimo. Ao executar o atalho, o usuário vê um documento decoy (PDF) enquanto, em segundo plano, o arquivo inicia o download e a execução de payloads ELF hospedados em infraestrutura controlada pelos atacantes.
Características do malware e persistência
O binário analisado trata‑se de um ELF 64‑bit com funcionalidades de remote access tool (RAT): execução remota de comandos shell, comunicação com canais de comando e controle, captura de screenshots e capacidade de exfiltração de dados. Para persistência, os operadores utilizam serviços user-level do systemd, garantindo execução através de reinicializações e sessões de usuário.
Infraestrutura e indicadores observados
- Domínio de entrega identificado: lionsdenim[.]xyz, registrado 22 dias antes da detecção;
- IP associado para distribuição: 185.235.137.90 (Frankfurt);
- Uso de domínios recentemente registrados e servidores possivelmente comprometidos em múltiplas jurisdições.
Motivação e alcance
O ataque foi catalogado como operação de ciber‑espionagem contra agências governamentais indianas. As fontes destacam que APT36 tradicionalmente atacava plataformas Windows, e que essa campanha representa um deslocamento tático para explorar ambientes Linux, incluindo instâncias do BOSS OS amplamente implantadas em órgãos públicos.
Abordagem técnica detalhada
O uso de .desktop como vetor intermediário é relevante por sua capacidade de executar comandos embutidos em ambientes Linux sem transportar diretamente binários ELF, reduzindo sinais forenses iniciais. O fluxo observado é:
- Entrega via archive contendo .desktop;
- Execução do atalho que aciona um script shell;
- Download e execução do ELF malicioso enquanto um decoy é apresentado ao usuário.
Impacto e recomendações apontadas
As análises citadas enfatizam a natureza furtiva da cadeia de entrega e a diversidade de funcionalidades da amostra ELF, que permitem escalonamento, persistência e exfiltração. Como medidas imediatas, as fontes recomendam reforço de controles de e‑mail (anti‑phishing), soluções EDR capazes de inspecionar execução de scripts e monitoramento de registros de systemd e conexões de rede para domínios recém‑registrados; contudo, as recomendações específicas e a lista completa de IOC não foram publicadas integralmente pelas fontes originais.
Limites das informações
Os relatórios não divulgam um inventário público de vítimas nem indicadores completos em aberto; a atribuição a APT36 e a informação sobre o uso de BOSS OS constam nas análises citadas, mas detalhes operacionais complementares permanecem restritos às publicações técnicas das equipes de resposta.