رصدت شركة Sekoia نشاطًا خبيثًا استهدف جهات حكومية هندية خلال شهري أغسطس وسبتمبر 2025، اعتمد على رسائل تصيّد مخصّصة (spear-phishing) لتسليم برمجية وصول عن بُعد مكتوبة بلغة Golang تُدعى DeskRAT، ونسبت التحليلات هذه الحملة إلى مجموعة Transparent Tribe (المعروفة أيضًا بـ APT36) ذات الصلة بنفوذ باكستاني والنشطة منذ 2013 على الأقل.
سلسلة إصابة متعددة المراحل ومخادعة المستخدم بمستندات سطح مكتب
تتضمن سلاسل الهجوم إرسال رسائل بريد إلكتروني تحوي ملف ZIP أو رابطًا لأرشيف مستضاف على خدمات سحابية شرعية مثل Google Drive. داخل الأرشيف يوجد ملف Desktop خبيث يضمّ أوامر لفتح ملف PDF خداعي بعنوان “CDS_Directive_Armed_Forces.pdf” عبر متصفح Mozilla Firefox، بينما ينفّذ في الخلفية الحمولة الرئيسية. تُحمّل جميع الشيفرات والموارد من خادم خارجي مُسجّل باسم modgovindia[.]com وتُنفّذ محليًا.
الحملة موجهة خصيصًا لنُظُم BOSS (Bharat Operating System Solutions) المبنية على لينكس، ويستخدم الـRAT قناة اتصال WebSocket لإنشاء قنوات قيادة وتحكم (C2).
قدرات DeskRAT على الثبات وسجلّ الأوامر
يقدّم DeskRAT أربع طرق مختلفة لتحقيق الديمومة على النظام: إنشاء خدمة systemd، إعداد وظيفة cron دورية، إضافة الاختراق إلى دليل الإقلاع التلقائي في لينكس (“$HOME/.config/autostart”)، وتعديل ملف .bashrc لتشغيل Trojans عبر سكربت موضوع في “$HOME/.config/system-backup/”.
يدعم DeskRAT خمس أوامر رئيسية تتيح للمهاجمين جمع المعلومات وتنفيذ أوامر عن بُعد:
-
ping: إرسال رسالة JSON تحمل الطابع الزمني مع ردّ “pong” إلى خادم C2.
-
heartbeat: إرسال رسالة نبضية تحتوي على heartbeat_response وطابع زمني.
-
browse_files: إرسال قوائم أدلة (directory listings).
-
start_collection: البحث وإرسال ملفات مطابقة لامتدادات محددة وأقل من 100 ميغابايت.
-
upload_execute: إسقاط حمولة إضافية (Python أو شل أو ملف Desktop) وتنفيذها.
وصف الباحثون خوادم C2 بأنها “خوادم متخفّية” — أي أنها تستخدم أسماء نطاقات لا تظهر سجلات NS العامة المرتبطة بها، ما يزيد من صعوبة تتبّعها وإزالتها. كما أشارت Sekoia إلى أن الحملة تحوّلت من توزيع الحمولات عبر منصات سحابية شرعية إلى استخدام خوادم استضافة مخصّصة كمراكز تجهيز للحملات.
مؤشرات عبر المنصات وروابط تكتيكية مع تقارير أخرى
تتماشى نتائج Sekoia مع تقرير سابق من QiAnXin XLab الذي وثّق حملة استهدفت نقاط نهاية ويندوز بحصان خلفي بلغة Golang يتتبعه باسم StealthServer عبر رسائل تصيد تحتوي على مرفقات Desktop مفخخة، مما يشير إلى تركيز عابر للمنصّات لدى الفاعل. وقد ظهرت ثلاثة إصدارات من StealthServer لنظام ويندوز خلال 2025: النسخة V1 (يوليو 2025) المزودة بتقنيات مضادة للتحليل وآليات ديمومة عبر مهام مجدولة وسكربتات PowerShell وسجلات النظام؛ وV2 (أواخر أغسطس 2025) التي أضافت فحوصات مضادة للتصحيح Debugging؛ وV3 (أواخر أغسطس 2025) التي تستخدم WebSocket وتشترك في وظائف DeskRAT. كما لاحظ XLab وجود نسختين لينكسيتين من StealthServer، إحداهما هي DeskRAT مع أمر إضافي “welcome”، والأخرى تستخدم HTTP لـC2 وتقدّم أوامر browse وupload وexecute مع سلوك بحث واستنزاف ملفات من الجذر “/” عبر POST مشفّر إلى “modgovindia[.]space:4000” — ما قد يشير إلى تطوّر مبكّر للحملة قبل ظهور أمر start_collection الأحدث.
سياق إقليمي وأدوات مساعدة للنهب
تأتي هذه الحملة وسط نشاط مكثف لعناقيد تهديد جنوب آسيا وشرقها؛ شملت الاكتشافات الأخيرة حملات تصيّد وحقن استغلالية من Bitter APT وSideWinder وOceanLotus وMysterious Elephant، مستهدفة قطاعات حكومية وطاقة وبحرية ودفاع في باكستان والهند والدول المجاورة. كما ركّزت بعض هذه الحملات على سرقة مكالمات وملفات WhatsApp باستخدام وحدات متخصصة مثل Uplo Exfiltrator وStom Exfiltrator، بالإضافة إلى أدوات لسرقة كوكيز ومتغيرات جلسات المتصفح عبر ChromeStealer Exfiltrator.
تكشف هذه الاكتشافات عن تحول مجموعات التهديد من الاعتماد على أدوات طرف ثالث إلى تطوير مخزون متكامل من البرمجيات المخصصة، مع تبادل تكتيكات وتشابكات مع مجموعات أخرى مثل Origami Elephant وConfucius وSideWinder، ما يؤكد أن التهديد موجه ببراعة ضد مصالح هندية محددة.
