TransparentTribe targets Indian military entities using DeskRAT, a Golang-based remote access Trojan. Learn how this new campaign works.

TransparentTribe targets Indian defense with new Golang-based DeskRAT, intensifying Linux espionage amid rising regional tensions.

In a concerning escalation of cyber espionage in South Asia, security researchers have uncovered a sophisticated campaign targeting Indian government Linux systems. The Pakistan-linked threat actor group, TransparentTribe, is deploying an AI-assisted variant of the notorious DeskRAT malware, leveraging advanced phishing techniques and stealthy command-and-control infrastructure to infiltrate sensitive networks. The attack highlights the growing complexity of cyber threats in government environments and the rising use of artificial intelligence to enhance malware capabilities.

Linuxシステムを運用するインド政府機関を標的としたサイバー諜報活動が、セキュリティ研究者によって明らかになりました。 Sekoia.ioによると、パキスタン拠点のグループTransparentTribe（別名APT36）に帰属されるこの活動は、「DeskRAT」と呼ばれる新しいリモートアクセスツール（RAT）を用いており、同グループの戦術の進化を示しています。 Sekoia.ioの新しいレポート（本日公開）によると、このキャンペーンは2025年6月に始まり、主にインド政府が推奨するBharat Operating System Solutions（BOSS）Linuxディストリビューションを実行するシステムを標的としています。 攻撃チェーンの内部 研究者によると、フィッシングメールが使用され、インドの防衛問題や地域の不安に言及した偽装文書を含む悪意のあるZIPアーカイブが配布されていました。 以前のTransparentTribeの作戦がGoogle Driveなどの正規クラウドストレージサービスに依存していたのとは異なり、今回のキャンペーンでは専用のステージングサーバーがマルウェア配布に利用されました。 感染ファイルが開かれると、Bashコマンドのシーケンスが実行され、バイナリペイロードがダウンロード・デコード・実行された後、ユーザーに偽装PDFが表示されます。 最終的なペイロードであるDeskRATは、Golangベースのリモートアクセス型トロイの木馬で、以下の機能を備えています： WebSocketによるコマンド＆コントロール（C2）通信の確立 ファイルのリモートアップロードおよび実行 100MB未満の機密ファイルの収集 複数のLinux特有の手法による永続化の維持 研究者は、マルウェアのコードに大規模言語モデル（LLM）が開発に使用された可能性を示唆する関数が含まれていることを指摘しました。 TransparentTribeの過去の作戦についてさらに読む：APT36による諜報脅威の中で誇張されたインドへのハクティビスト攻撃 この作戦は、2025年8月と9月にラダックおよびニューデリーで発生した抗議活動と同時期に行われ、研究者はこれらが誘引として利用されたと考えています。偽装PDFは実際の防衛関連の通信や政府指令に言及しており、フィッシング攻撃の成功率を高めています。 戦略的動機と継続的なリスク 少なくとも2013年から活動しているTransparentTribeは、パキスタンの軍事および戦略的目標に沿った諜報活動を行うことで知られています。アナリストは、このキャンペーンが政治的緊張の時期にインドの軍事および政府ネットワークから情報収集を目的としていると高い確信をもって評価しています。 研究者はまた、攻撃者が侵害したシステムを管理するために使用する新たな高度なコマンドインターフェースも観測しました。そのダッシュボードでは、感染ホスト全体のリアルタイム監視、ファイル収集、リモートアクセスが可能です。 これらの発見は、Linux環境への継続的な注力と、目的別に設計されたマルウェアやインフラへの傾向を示唆しています。 「[さらに、] 攻撃者によるLLMの広範な利用は、RATやC2などのマルウェア開発サイクルを圧縮し、攻撃者が研究者の手動リバースや検知よりも早く展開できるという時間的不均衡を生み出しています」とSekoiaチームは警告しています。 「これは、防御側がそのタスクにLLMを活用し適応する必要があるという明確な指標です。」 翻訳元:

In a striking development in cyber warfare, Indian defense and government networks are facing a highly sophisticated campaign orchestrated by the Pakistan-linked threat actor TransparentTribe, also known as APT36. The campaign, active since June 2025, specifically targets systems running BOSS Linux, India’s government-endorsed operating system. By leveraging advanced malware and refined social engineering techniques, the attackers have successfully bypassed conventional defenses, exposing critical defense infrastructure to espionage risks.