Sistemas del Gobierno Indio Bajo Ataque: Hackers Despliegan Archivos de Acceso Directo Falsos

Un grupo de hackers vinculado a Pakistán conocido como Transparent Tribe (APT36) está nuevamente en el centro de atención por lanzar una nueva campaña de ciberataques contra instituciones gubernamentales indias.

Investigadores de la firma de ciberseguridad CYFIRMA han descubierto una nueva campaña de ciberespionaje dirigida a agencias gubernamentales indias, en la que los atacantes disfrazan archivos de acceso directo maliciosos como documentos PDF inofensivos para instalar secretamente malware en segundo plano.

Cómo Funciona el Ataque

Según CYFIRMA, la campaña comienza con correos electrónicos de phishing que parecen llevar invitaciones oficiales a reuniones con un archivo llamado algo como “Meeting_Ltr_ID1543ops.pdf.desktop”. En lugar de abrir un PDF, las víctimas que hacen clic en el archivo adjunto que parece un documento inofensivo ejecutan sin saber un archivo de acceso directo malicioso que instala spyware en segundo plano.

El archivo descarga una carga útil de malware desde servidores controlados por los atacantes como securestore[.]cv y modgovindia[.]space, e instala en segundo plano. Para evitar sospechas, un PDF de distracción alojado en Google Drive se abre en Firefox, engañando a la víctima para que crea que simplemente ha abierto un documento de reunión.

Una vez dentro del sistema, el malware —escrito en el lenguaje de programación Go— puede robar datos sensibles, recopilar credenciales de inicio de sesión, habilitar acceso a largo plazo y permanecer activo incluso después de un reinicio configurando tareas automatizadas.

“La capacidad de APT36 para personalizar sus mecanismos de entrega de acuerdo con el entorno operativo de la víctima aumenta así sus posibilidades de éxito mientras mantiene acceso persistente a la infraestructura gubernamental crítica y evade controles de seguridad tradicionales”, escribió CYFIRMA en una publicación de blog de investigación.

A diferencia de operaciones anteriores, esta campaña adapta específicamente los ataques a los sistemas basados en Linux de India, como BOSS (Bharat Operating System Solutions) —un sistema operativo respaldado por el gobierno—, además de los sistemas Windows.

Para mantener la persistencia, el malware agrega un trabajo cron que ejecuta la carga útil oculta ‘.config/systemd/systemd-update’ cada vez que el sistema se reinicia, asegurando que permanezca activo incluso después de apagados o terminaciones de procesos.

Dado que BOSS se utiliza ampliamente en departamentos gubernamentales, este objetivo de doble plataforma aumenta las posibilidades de éxito de los hackers.

Por Qué Esto Importa

Los expertos en seguridad advierten que las tácticas en evolución de Transparent Tribe han cambiado ahora de su uso tradicional de malware para Windows a desarrollar amenazas dirigidas a Linux BOSS.

“La adopción de cargas útiles .desktop que apuntan a Linux BOSS refleja un cambio táctico hacia la explotación de tecnologías indígenas. Combinado con malware tradicional basado en Windows e implantes móviles, esto muestra la intención del grupo de diversificar los vectores de acceso y asegurar la persistencia incluso en entornos endurecidos”, dijo CYFIRMA.

Sumando al peligro, el grupo también está ejecutando sitios de recolección de credenciales que imitan portales gubernamentales indios. Páginas de inicio de sesión falsas engañan a las víctimas para que entreguen su correo electrónico, contraseña e incluso códigos de autenticación de dos factores (2FA) de Kavach —una medida de seguridad utilizada por agencias indias desde 2022. Al eludir esta capa de seguridad, los atacantes obtienen acceso completo a cuentas sensibles.

Amenaza a Largo Plazo

Transparent Tribe, que se cree que opera desde Pakistán, ha estado activa durante más de una década, apuntando regularmente al gobierno indio, defensa y organizaciones de infraestructura crítica. Sus tácticas han evolucionado constantemente —desde malware simple basado en Windows hasta puertas traseras altamente personalizadas de Linux y esquemas de robo de credenciales en toda Asia del Sur.

Recomendaciones y Mitigación

Los investigadores de seguridad están aconsejando a los empleados gubernamentales que manejen los archivos adjuntos de correo electrónico y las páginas de inicio de sesión con precaución, ya que se están utilizando PDFs disfrazados y portales falsos para engañar a los usuarios y hacer que entreguen sus credenciales.

Para contrarrestar la campaña de APT36 que apunta a entidades gubernamentales indias a través de archivos .desktop armados, se recomienda a las agencias implementar una fuerte seguridad de correo electrónico, realizar capacitación regular para usuarios y endurecer BOSS Linux con controles de menor privilegio. La detección de endpoints, el monitoreo de redes y la integración de IOCs/reglas YARA ayudarán a la detección temprana, mientras que la aplicación oportuna de parches y controles basados en comportamiento son vitales para bloquear actividades sospechosas.

La Imagen Más Grande

El incidente subraya los riesgos de seguridad nacional que representan los grupos APT que apuntan a la infraestructura gubernamental. Si tienen éxito, tales ataques podrían llevar al robo de datos clasificados, interrupciones en operaciones críticas y permitir la vigilancia a largo plazo de las agencias indias. A medida que Transparent Tribe continúa evolucionando sus métodos, India enfrenta un desafío creciente para defender su infraestructura sensible del ciberespionaje.