Cine, ce și unde: grupul de spionaj cibernetic APT36 din Pakistan țintește instituții guvernamentale și de apărare din India, folosind fișiere Linux .desktop pentru a instala programe malițioase și a sustrage informații.
Campania, descrisă în rapoartele CYFIRMA și CloudSEK, a fost observată prima dată pe 1 august 2025 și, pe baza dovezilor recente, continuă. Atacatorii urmăresc exfiltrarea de date și menținerea accesului persistent la sistemele compromise, iar tehnica nu este complet nouă pentru grup: APT36 mai folosea fișiere .desktop în operațiuni țintite în Asia de Sud.
Metoda folosită profită de un detaliu aparent banal al mediului Linux. Victimele primesc prin e-mail arhișabloane ZIP care conțin un fișier .desktop mascat ca PDF, cu nume care sugerează un document legitim. Fișierele .desktop sunt, în mod normal, lansatoare text care spun mediului grafic ce icoană, nume și comandă să ruleze când utilizatorul dă click. În atacuri, însă, aceste lansatoare devin dropper-e: câmpul Exec= este folosit pentru a ascunde un șir de comenzi bash care decodează un payload în hex și îl salvează într-un fișier temporar în /tmp/.
După scrierea payload-ului, scriptul aplică chmod +x pentru a face fișierul executabil și îl pornește în background. Ca să nu trezească suspiciuni, atacatorii lansează și Firefox pentru a afișa o decoy PDF benign găzduit pe Google Drive, astfel utilizatorul vede ceva familiar în loc să observe activitate ciudată. Atacatorii adaugă și câmpuri precum Terminal=false, ca fereastra terminalului să rămână ascunsă, sau X-GNOME-Autostart-enabled=true, ca fișierul să pornească la fiecare autentificare și să asigure persistența.
Riscul mai mare vine din natura simplă a fișierelor .desktop: fiind text, nu binare, și pentru că abuzul lor nu e încă bine documentat, multe soluții de securitate pentru Linux nu le tratează ca potențiale amenințări. În acest caz, payload-ul final este un executabil ELF scris în Go, conceput pentru funcții de spionaj. Analiza a fost îngreunată de tehnici de packing și ofuscare, dar cercetătorii au descoperit că malware-ul poate rămâne ascuns ori poate încerca să-și stabilească persistența prin cron jobs sau servicii systemd separate.
Comunicarea cu serverele de comandă și control se face printr-un canal WebSocket bidirecțional, ceea ce permite atât exfiltrarea de date, cât și execuția de comenzi la distanță. Atât CYFIRMA, cât și CloudSEK observă că această campanie reflectă o evoluție a tacticii APT36, devenind mai evazivă și mai sofisticată.
Pentru utilizatorii de Linux reiese un avertisment practic: un fișier care arată ca un PDF dar este de fapt un .desktop trebuie tratat cu prudență. Ai deschis vreodată un fișier fără să verifici extensia și ți s-a părut că e complet inofensiv?
Fii primul care comentează