摘要：APT36至少自 2013 年开始活跃，也被称为 Earth Karkaddan、Mythic Leopard、Operation C-Major 和Transparent Tribe，因其针对印度政府实体的网络间谍活动而闻名。APT36 正在针对印度政府实体

安全研究人员警告称，与巴基斯坦有关联的网络间谍组织正在发起新一轮攻击，利用定制恶意软件瞄准印度政府和国防实体。

APT36至少自 2013 年开始活跃，也被称为 Earth Karkaddan、Mythic Leopard、Operation C-Major 和Transparent Tribe，因其针对印度政府实体的网络间谍活动而闻名。APT36 正在针对印度政府实体发起新一轮攻击，目标是 Linux 系统。

在 2025 年 8 月发动的攻击中，APT36 一直依赖一种新的感染技术：使用 Linux 桌面入口 (.desktop) 文件进行恶意软件传播。这些是纯文本配置文件，定义快捷方式和启动器，并包含有关应用程序的元数据。

这些恶意文件是一场以采购为主题的网络钓鱼活动的一部分，它们被打包在ZIP压缩包中，伪装成文档。据CloudSEK报道，打开后，它们会从Google Drive获取一个植入程序，并同时在Firefox浏览器中显示一个诱饵PDF文件。

该植入程序执行反调试和反沙盒检查，在系统上设置持久性，并尝试使用 WebSockets 与命令和控制 (C&C) 服务器建立通信。

CloudSEK指出： “在攻击生命周期中使用 Google Drive 代表了该威胁组织能力的重大发展，通过鱼叉式网络钓鱼媒介，对基于 Linux 的政府和国防基础设施构成风险。”

Cyfirma在另一份报告中解释说， 使用专门针对 Linux Boss 环境定制的恶意软件表明 APT36 的复杂性和灵活性有所提高。

该网络安全公司表示：“APT36 能够根据受害者的操作环境定制其交付机制，从而增加其成功的机会，同时保持对关键政府基础设施的持续访问并逃避传统的安全控制。”

Cyfirma 观察到的网络钓鱼电子邮件以会议通知为主题，但依赖于相同的感染机制，使用 .desktop 文件作为加载器。

虽然 APT36 仍然专注于印度政府实体和邻近行业，但它也被发现瞄准其他国家的组织。

Cyfirma 指出：“采用 .desktop 载荷攻击 Linux Boss 反映了其向利用本土技术的战术转变。结合传统的 Windows 恶意软件和移动植入程序，这表明该组织意图实现访问媒介多样化，并确保即使在强化环境中也能保持持久性。”

技术报告：

来源：会杀毒的单反狗