Transparent Tribe ataca al Gobierno de India con accesos directos maliciosos en Linux y Windows

El grupo de ciberespionaje Transparent Tribe, también identificado como APT36, ha sido detectado en nuevas campañas dirigidas contra el Gobierno de India. Los ataques afectan tanto a sistemas Windows como a Linux BOSS (Bharat Operating System Solutions), utilizando accesos directos maliciosos diseñados para instalar malware y obtener control remoto de los equipos comprometidos.

Phishing como punto de entrada

La infección comienza mediante correos de spear-phishing que simulan ser comunicaciones oficiales, como supuestas convocatorias a reuniones. En realidad, los archivos adjuntos son accesos directos disfrazados de documentos PDF con nombres como “Meeting_Ltr_ID1543ops.pdf.desktop”. Al abrirlos, el usuario activa un script malicioso que descarga e instala el payload desde un servidor controlado por los atacantes.

Proceso de ejecución del ataque

• El script descarga un archivo en formato hex desde securestore[.]cv y lo guarda como un binario ELF.
• De forma paralela, abre un PDF señuelo alojado en Google Drive para no despertar sospechas.
• El binario, desarrollado en Go, establece conexión con un servidor de Comando y Control (C2) en modgovindia[.]space:4000.
• El malware permite recibir órdenes, descargar más cargas maliciosas y extraer información sensible.
• Para asegurar persistencia, se crea una tarea cron que reactiva el malware tras reinicios o cierres de procesos.

Capacidades avanzadas de evasión

Según análisis de firmas de ciberseguridad, el malware realiza un reconocimiento del sistema y emplea técnicas de anti-debugging y anti-sandbox para evitar ser detectado por entornos de análisis. Además, se identificó la instalación de un backdoor conocido como Poseidon, que facilita:

• Robo de credenciales.
• Acceso remoto sostenido.
• Recolección de datos confidenciales.
• Posible movimiento lateral dentro de la red gubernamental.

Enfoque en autenticación y credenciales

La campaña también se conecta con tácticas previas en las que Transparent Tribe y su subgrupo SideCopy buscaron robar credenciales y códigos de autenticación de dos factores (2FA). En particular, se ha detectado la suplantación de la herramienta Kavach, utilizada por entidades gubernamentales indias para reforzar la seguridad de acceso.

El procedimiento observado incluye el uso de dominios falsificados que redirigen a las víctimas hacia páginas de inicio de sesión fraudulentas. Allí se solicita introducir dirección de correo, contraseña y el código de autenticación de Kavach, entregando toda esta información directamente a los atacantes.

Tácticas recurrentes y expansión regional

La estrategia basada en typosquatting y servidores con infraestructura alojada en Pakistán es consistente con las técnicas de Transparent Tribe. Al mismo tiempo, se ha detectado que otros grupos APT de la región, como SideWinder, llevan a cabo campañas similares en Bangladesh, Nepal, Pakistán, Sri Lanka y Turquía, mediante correos de phishing y páginas falsas en plataformas como Netlify y Pages.dev.

Estos portales imitan servicios oficiales de correo o intercambio de archivos para engañar a los usuarios y obtener credenciales de manera encubierta.

Conclusión

Las recientes actividades de Transparent Tribe confirman una evolución constante en sus métodos de ataque, adaptando técnicas según el sistema operativo del objetivo y combinando phishing, malware y persistencia para asegurar un acceso prolongado a infraestructuras críticas. Esto refuerza la necesidad de fortalecer la ciberseguridad gubernamental frente a APTs con alta capacidad de adaptación y un historial de operaciones prolongadas.