Sistemi del Governo Indiano Sotto Attacco: Gli Hacker Distribuiscono File Scorciatoia Falsi

Un gruppo di hacker legato al Pakistan noto come Transparent Tribe (APT36) è nuovamente sotto i riflettori per aver lanciato una nuova campagna di attacco informatico contro le istituzioni governative indiane.

I ricercatori della società di cybersecurity CYFIRMA hanno scoperto una nuova campagna di cyber-spionaggio mirata alle agenzie governative indiane, in cui gli attaccanti mascherano file di collegamento desktop dannosi come documenti PDF innocui per installare segretamente malware in background.

Come Funziona L’Attacco

Secondo CYFIRMA, la campagna inizia con email di phishing che sembrano contenere inviti ufficiali a riunioni con un file chiamato qualcosa come “Meeting_Ltr_ID1543ops.pdf.desktop”. Invece di aprire un PDF, le vittime che cliccano sul file allegato che appare come un documento innocuo eseguono inconsapevolmente un file di collegamento dannoso che installa spyware in background.

Il file scarica un payload malware da server controllati dagli attaccanti come securestore[.]cv e modgovindia[.]space, e lo installa in background. Per evitare sospetti, un PDF di inganno ospitato su Google Drive si apre in Firefox, ingannando la vittima facendole credere di aver semplicemente aperto un documento di riunione.

Una volta all’interno del sistema, il malware — scritto nel linguaggio di programmazione Go — può rubare dati sensibili, raccogliere credenziali di accesso, abilitare accesso a lungo termine e rimanere attivo anche dopo un riavvio impostando attività automatizzate.

“Le capacità di APT36 di personalizzare i propri meccanismi di consegna in base all’ambiente operativo della vittima aumentano così le sue possibilità di successo mantenendo un accesso persistente alle infrastrutture governative critiche ed eludendo i controlli di sicurezza tradizionali,” ha scritto CYFIRMA in un post sul blog di ricerca.

A differenza delle operazioni precedenti, questa campagna adatta specificamente gli attacchi ai sistemi basati su Linux dell’India, come BOSS (Bharat Operating System Solutions) — un sistema operativo sostenuto dal governo, oltre ai sistemi Windows.

Per mantenere la persistenza, il malware aggiunge un lavoro cron che esegue il payload nascosto ‘.config/systemd/systemd-update’ ogni volta che il sistema si riavvia, assicurando che rimanga attivo anche dopo spegnimenti o terminazioni di processo.

Poiché BOSS è ampiamente utilizzato nei dipartimenti governativi, questo targeting su due piattaforme aumenta le possibilità di successo degli hacker.

Perché Questo È Importante

Gli esperti di sicurezza avvertono che le tattiche in evoluzione di Transparent Tribe si sono ora spostate dal tradizionale uso di malware per Windows allo sviluppo di minacce mirate a Linux BOSS.

“L’adozione di payload .desktop mirati a Linux BOSS riflette un cambiamento tattico verso lo sfruttamento di tecnologie indigene. Combinato con malware tradizionale basato su Windows e impianti mobili, questo mostra l’intento del gruppo di diversificare i vettori di accesso e garantire persistenza anche in ambienti rinforzati,” ha detto CYFIRMA.

Aggiungendo al pericolo, il gruppo sta anche gestendo siti di raccolta credenziali che imitano i portali governativi indiani. Pagine di accesso false ingannano le vittime facendole consegnare la propria email, password e persino i codici di autenticazione a due fattori (2FA) di Kavach — una misura di sicurezza utilizzata dalle agenzie indiane dal 2022. Eludendo questo strato di sicurezza, gli attaccanti ottengono accesso completo a conti sensibili.

Minaccia a Lungo Termine

Transparent Tribe, ritenuto operante dal Pakistan, è attivo da oltre un decennio, prendendo di mira regolarmente il governo indiano, la difesa e le organizzazioni di infrastrutture critiche. Le loro tattiche sono evolute costantemente — da malware semplici basati su Windows a backdoor Linux altamente personalizzate e schemi di furto di credenziali in tutto il Sud Asia.

Raccomandazioni & Mitigazione

I ricercatori di sicurezza consigliano ai dipendenti governativi di gestire con cautela gli allegati email e le pagine di accesso, poiché PDF mascherati e portali falsi vengono utilizzati per ingannare gli utenti a rinunciare alle proprie credenziali.

Per contrastare la campagna APT36 che prende di mira le entità governative indiane attraverso file .desktop armati, si raccomanda alle agenzie di implementare una forte sicurezza email, condurre regolari corsi di formazione per gli utenti e rinforzare BOSS Linux con controlli di minimo privilegio. La rilevazione degli endpoint, il monitoraggio della rete e l’integrazione di IOCs/regole YARA aiuteranno nella rilevazione precoce, mentre la tempestiva applicazione delle patch e i controlli basati sul comportamento sono vitali per bloccare attività sospette.

Il Quadro Generale

L’incidente sottolinea i rischi per la sicurezza nazionale posti dai gruppi APT che prendono di mira le infrastrutture governative. Se avessero successo, tali attacchi potrebbero portare al furto di dati riservati, interruzioni nelle operazioni critiche e consentire una sorveglianza a lungo termine delle agenzie indiane. Mentre Transparent Tribe continua a evolvere i propri metodi, l’India affronta una crescente sfida nel difendere le infrastrutture sensibili dallo cyber-spionaggio.