摘要：Sekoia.io 将此活动归咎于巴基斯坦APT组织TransparentTribe（也称为 APT36），涉及一种名为“DeskRAT”的新型远程访问工具 (RAT)，反映了该组织策略的演变。

安全研究人员发现一项针对运行 Linux 系统的印度政府实体的网络间谍活动。

Sekoia.io 将此活动归咎于巴基斯坦APT组织TransparentTribe（也称为 APT36），涉及一种名为“DeskRAT”的新型远程访问工具 (RAT)，反映了该组织策略的演变。

根据 Sekoia.io 今天发布的新报告，该活动始于 2025 年 6 月，主要针对运行印度政府认可的 Bharat 操作系统解决方案Linux 发行版的系统。

研究人员发现，网络钓鱼电子邮件被用来发送恶意 ZIP 档案，其中包含涉及印度国防问题和地区动乱的欺骗性文件。

导致 DeskRAT 安装的感染链

与早期依赖 Google Drive 等合法云存储服务的 TransparentTribe 行动不同，此次活动使用专用服务器来分发恶意软件。

一旦打开，受感染的文件就会执行 Bash 命令序列，下载、解码并运行二进制有效负载，然后向用户显示诱饵 PDF。

最后一个有效载荷 DeskRAT 是一个基于 Golang 的远程访问木马，完成以下操作：

研究人员指出，该恶意软件的代码包含一些功能，表明其开发过程中可能使用了大型语言模型 (LLM)。

此次行动恰逢2025年8月和9月拉达克和新德里的抗议活动，研究人员认为这些抗议活动被用作诱饵。诱饵PDF引用了真实的国防相关通讯和政府指令，增加了网络钓鱼攻击成功的可能性。

TransparentTribe 至少自 2013 年以来一直活跃，其间谍活动与巴基斯坦的军事和战略目标相符。分析人士高度肯定地认为，该组织旨在在政治紧张时期从印度军方和政府网络收集情报。

研究人员还观察到一种新型、复杂的命令界面，操作员用它来管理受感染的系统。其仪表板允许对受感染主机进行实时监控、文件收集和远程访问。

研究结果表明，人们继续关注 Linux 环境，并倾向于专用恶意软件和基础设施。

Sekoia 团队警告称：“攻击者广泛使用 LLM 会压缩恶意软件（例如 RAT 和 C2）的开发周期，从而造成时间不平衡，攻击者的部署速度比研究人员手动逆转和检测的速度更快。”

技术报告：

来源：会杀毒的单反狗