Systèmes gouvernementaux indiens sous attaque : des hackers déploient de faux fichiers de raccourci

Un groupe de hackers lié au Pakistan, connu sous le nom de Transparent Tribe (APT36), est de nouveau sous les projecteurs pour avoir lancé une nouvelle campagne de cyberattaque contre des institutions gouvernementales indiennes.

Des chercheurs de la société de cybersécurité CYFIRMA ont découvert une nouvelle campagne de cyber-espionnage visant des agences gouvernementales indiennes, dans laquelle les attaquants déguisent des fichiers de raccourci de bureau malveillants en documents PDF inoffensifs pour installer secrètement des logiciels malveillants en arrière-plan.

Comment fonctionne l’attaque

Selon CYFIRMA, la campagne commence par des e-mails de phishing qui semblent contenir des invitations officielles à des réunions avec un fichier nommé quelque chose comme “Meeting_Ltr_ID1543ops.pdf.desktop”. Au lieu d’ouvrir un PDF, les victimes qui cliquent sur le fichier joint qui semble être un document inoffensif exécutent sans le savoir un fichier de raccourci malveillant qui installe un logiciel espion en arrière-plan.

Le fichier télécharge une charge utile de malware depuis des serveurs contrôlés par les attaquants tels que securestore[.]cv et modgovindia[.]space, et l’installe en arrière-plan. Pour éviter les soupçons, un PDF leurre hébergé sur Google Drive s’ouvre dans Firefox, trompant la victime en lui faisant croire qu’elle a simplement ouvert un document de réunion.

Une fois à l’intérieur du système, le malware — écrit dans le langage de programmation Go — peut voler des données sensibles, récolter des identifiants de connexion, permettre un accès à long terme et rester actif même après un redémarrage en configurant des tâches automatisées.

“Capacité d’APT36 à personnaliser ses mécanismes de livraison en fonction de l’environnement opérationnel de la victime augmente ainsi ses chances de succès tout en maintenant un accès persistant à l’infrastructure gouvernementale critique et en évitant les contrôles de sécurité traditionnels,” a écrit CYFIRMA dans un article de blog de recherche.

Contrairement aux opérations précédentes, cette campagne adapte spécifiquement les attaques aux systèmes basés sur Linux de l’Inde, tels que BOSS (Bharat Operating System Solutions) — un système d’exploitation soutenu par le gouvernement, en plus des systèmes Windows.

Pour maintenir la persistance, le malware ajoute un job cron qui exécute la charge utile cachée ‘.config/systemd/systemd-update’ chaque fois que le système redémarre, garantissant qu’il reste actif même après des arrêts ou des terminaisons de processus.

Étant donné que BOSS est largement utilisé dans les départements gouvernementaux, cette cible double augmente les chances de succès des hackers.

Pourquoi cela importe

Les experts en sécurité avertissent que les tactiques évolutives de Transparent Tribe ont maintenant changé de son utilisation traditionnelle de malware Windows à des menaces visant Linux BOSS.

“L’adoption de charges utiles .desktop ciblant Linux BOSS reflète un changement tactique vers l’exploitation des technologies indigènes. Combiné avec des malwares basés sur Windows traditionnels et des implants mobiles, cela montre l’intention du groupe de diversifier les vecteurs d’accès et d’assurer la persistance même dans des environnements renforcés,” a déclaré CYFIRMA.

Ajoutant au danger, le groupe gère également des sites de collecte d’identifiants qui imitent les portails gouvernementaux indiens. De fausses pages de connexion trompent les victimes en leur faisant remettre leur e-mail, mot de passe, et même les codes d’authentification à deux facteurs Kavach (2FA) — une mesure de sécurité utilisée par les agences indiennes depuis 2022. En contournant cette couche de sécurité, les attaquants obtiennent un accès complet aux comptes sensibles.

Menace à long terme

Transparent Tribe, qui serait basé au Pakistan, est actif depuis plus d’une décennie, ciblant régulièrement le gouvernement indien, la défense et les organisations d’infrastructure critique. Leurs tactiques ont évolué de manière constante — passant de simples malwares basés sur Windows à des portes dérobées Linux hautement personnalisées et à des schémas de vol d’identifiants à travers l’Asie du Sud.

Recommandations et atténuation

Les chercheurs en sécurité conseillent aux employés gouvernementaux de traiter les pièces jointes d’e-mail et les pages de connexion avec prudence, car des PDFs déguisés et de faux portails sont utilisés pour tromper les utilisateurs afin qu’ils abandonnent leurs identifiants.

Pour contrer la campagne d’APT36 ciblant les entités gouvernementales indiennes à travers des fichiers .desktop armés, il est recommandé aux agences de déployer une sécurité e-mail robuste, de mener des formations régulières pour les utilisateurs, et de renforcer BOSS Linux avec des contrôles de moindre privilège. La détection des points de terminaison, la surveillance du réseau et l’intégration des IOCs/règles YARA aideront à une détection précoce, tandis que des correctifs en temps opportun et des contrôles basés sur le comportement sont essentiels pour bloquer les activités suspectes.

La vue d’ensemble

L’incident souligne les risques pour la sécurité nationale posés par les groupes APT ciblant l’infrastructure gouvernementale. Si elles réussissent, de telles attaques pourraient entraîner le vol de données classifiées, des perturbations dans les opérations critiques, et permettre une surveillance à long terme des agences indiennes. Alors que Transparent Tribe continue d’évoluer ses méthodes, l’Inde fait face à un défi croissant pour défendre son infrastructure sensible contre le cyber-espionnage.