Sistemas do Governo Indiano Sob Ataque: Hackers Implantam Arquivos de Atalho Falsos

Um grupo de hackers vinculado ao Paquistão, conhecido como Transparent Tribe (APT36), está mais uma vez em evidência por lançar uma nova campanha de ciberataque contra instituições do governo indiano.

Pesquisadores da empresa de cibersegurança CYFIRMA descobriram uma nova campanha de ciberespionagem direcionada a agências governamentais indianas, onde os atacantes disfarçam arquivos de atalho de desktop maliciosos como documentos PDF inofensivos para instalar secretamente malware em segundo plano.

Como O Ataque Funciona

De acordo com a CYFIRMA, a campanha começa com e-mails de phishing que parecem conter convites oficiais para reuniões com um arquivo nomeado algo como “Meeting_Ltr_ID1543ops.pdf.desktop”. Em vez de abrir um PDF, as vítimas que clicam no arquivo anexado que parece um documento inofensivo executam inconscientemente um arquivo de atalho malicioso que instala spyware em segundo plano.

O arquivo baixa um payload de malware de servidores controlados pelos atacantes, como securestore[.]cv e modgovindia[.]space, e o instala em segundo plano. Para evitar suspeitas, um PDF falso hospedado no Google Drive é aberto no Firefox, enganando a vítima a acreditar que ela simplesmente abriu um documento de reunião.

Uma vez dentro do sistema, o malware — escrito na linguagem de programação Go — pode roubar dados sensíveis, coletar credenciais de login, permitir acesso a longo prazo e permanecer ativo mesmo após uma reinicialização, configurando tarefas automatizadas.

“A capacidade da APT36 de personalizar seus mecanismos de entrega de acordo com o ambiente operacional da vítima aumenta suas chances de sucesso, mantendo acesso persistente à infraestrutura governamental crítica e evitando controles de segurança tradicionais”, escreveu a CYFIRMA em um post de pesquisa no blog.

Diferente de operações anteriores, esta campanha adapta especificamente os ataques aos sistemas baseados em Linux da Índia, como o BOSS (Bharat Operating System Solutions) — um sistema operacional apoiado pelo governo, além de sistemas Windows.

Para manter a persistência, o malware adiciona um cron job que executa o payload oculto ‘.config/systemd/systemd-update’ toda vez que o sistema reinicia, garantindo que permaneça ativo mesmo após desligamentos ou término de processos.

Como o BOSS é amplamente utilizado em departamentos governamentais, esse direcionamento em dupla plataforma aumenta as chances de sucesso dos hackers.

Por Que Isso Importa

Especialistas em segurança alertam que as táticas em evolução da Transparent Tribe agora mudaram de seu uso tradicional de malware para Windows para desenvolver ameaças direcionadas ao Linux BOSS.

“A adoção de payloads .desktop direcionados ao Linux BOSS reflete uma mudança tática em direção à exploração de tecnologias indígenas. Combinado com malware tradicional baseado em Windows e implantes móveis, isso mostra a intenção do grupo de diversificar vetores de acesso e garantir persistência mesmo em ambientes endurecidos”, disse a CYFIRMA.

Aumentando o perigo, o grupo também está executando sites de coleta de credenciais que imitam portais do governo indiano. Páginas de login falsas enganam as vítimas a entregarem seu e-mail, senha e até mesmo códigos de autenticação de dois fatores (2FA) do Kavach — uma medida de segurança utilizada por agências indianas desde 2022. Ao contornar essa camada de segurança, os atacantes obtêm acesso completo a contas sensíveis.

Ameaça de Longo Prazo

A Transparent Tribe, acreditada como operando a partir do Paquistão, está ativa há mais de uma década, visando regularmente o governo indiano, defesa e organizações de infraestrutura crítica. Suas táticas evoluíram constantemente — de malware simples baseado em Windows para backdoors altamente personalizados em Linux e esquemas de roubo de credenciais em toda a Ásia do Sul.

Recomendações & Mitigação

Pesquisadores de segurança estão aconselhando funcionários do governo a manusear anexos de e-mail e páginas de login com cautela, já que PDFs disfarçados e portais falsos estão sendo usados para enganar usuários a entregarem suas credenciais.

Para combater a campanha da APT36 direcionada a entidades governamentais indianas através de arquivos .desktop armados, recomenda-se que as agências implementem forte segurança de e-mail, realizem treinamentos regulares para usuários e endureçam o BOSS Linux com controles de menor privilégio. A detecção de endpoint, monitoramento de rede e integração de IOCs/regras YARA ajudarão na detecção precoce, enquanto a correção oportuna e controles baseados em comportamento são vitais para bloquear atividades suspeitas.

A Visão Geral

O incidente destaca os riscos de segurança nacional apresentados por grupos APT que visam a infraestrutura governamental. Se bem-sucedidos, tais ataques poderiam levar ao roubo de dados classificados, interrupções em operações críticas e permitir vigilância de longo prazo sobre agências indianas. À medida que a Transparent Tribe continua a evoluir seus métodos, a Índia enfrenta um desafio crescente em defender sua infraestrutura sensível contra ciberespionagem.