Transparent Tribe realiza ataque de malware contra defesa indiana

São Paulo — InkDesign News — Um sofisticado ataque de espionagem cibernética, atribuído ao grupo APT36 (também conhecido como Transparent Tribe), está agora mirando pessoal e organizações de defesa na Índia, utilizando malware direcionado especificamente a sistemas operacionais Linux BOSS, frequentemente empregados por agências governamentais indianas.

Incidente e vulnerabilidade

Conforme reportado pela empresa de cibersegurança Cyfirma, a operação foi identificada pela primeira vez em 7 de junho de 2025. Os atacantes empregam e-mails de phishing, que contêm arquivos compactados, tipicamente um arquivo ZIP intitulado “Cyber-Security-Advisory.zip”. Este arquivo abriga um arquivo ‘.desktop’, um atalho utilizado em sistemas Linux. Ao ser aberto, o arquivo executa duas ações simultâneas: apresenta um arquivo PowerPoint que distrai o usuário enquanto, em segundo plano, baixa e executa um programa malicioso denominado BOSS.elf, um binário no formato ELF, exclusivo para Linux, desenvolvido na linguagem Go. Este se configura como a principal carga maliciosa destinada a comprometer sistemas-alvo.

Impacto e resposta

O malware tenta se conectar a um servidor de controle com o endereço de IP 101.99.92.182, na porta 12520. A infraestrutura da interface maliciosa, identificada como sorlastore.com, é utilizada pelo APT36 para realizar ataques focados no setor de defesa indiano. Essa operação multi-etapa foi elaborada para contornar verificações de segurança e minimizar a detecção por parte das equipes de TI, permitindo acesso não autorizado a sistemas sensíveis.

Mitigações recomendadas

Organizações, especialmente aquelas que operam com sistemas baseados em Linux, devem tratar essa ameaça com máxima seriedade. Medidas robustas de cibersegurança devem ser priorizadas, tal como a desativação da auto-execução de atalhos na imagem do BOSS Linux e a implementação de listas de permissão de aplicações que restrinjam a execução de software fora de repositórios assinados. Como destacado pelo especialista:

A prevenção melhora quando as imagens do BOSS Linux desativam a auto-execução de atalhos de desktop e impõem listas de permissão de aplicações que limitam o que roda fora de repositórios assinados.
(“Prevention improves when BOSS Linux images disable the auto-execution of desktop shortcuts and enforce application-allow lists that limit what runs outside signed repositories.”)

— Jason Soroko, Senior Fellow, Sectigo

Além disso, é recomendado que visualizadores de PowerPoint abram em modo somente leitura e que downloads de redes não confiáveis sejam armazenados em locais com montagens que não permitam execução. A segmentação de zero trust é crucial para manter estações de trabalho comprometidas isoladas de enclaves classificados.

Em suma, a habilidade do APT36 de explorar vulnerabilidades em ambientes Linux representa um risco crescente para redes governamentais vitais. A contínua adaptação e evolução desse grupo de ataques devem ser cuidadosamente monitoradas, e as organizações devem estar preparadas para mitigar ataques futuros.

Fonte: (Hack Read – Segurança Cibernética)