パキスタンに関連する国家支援のサイバースパイが、インドの政府および防衛機関を標的にした新たなキャンペーンで、カスタマイズされたマルウェアを使用しているとセキュリティ研究者が警告しています。
少なくとも2013年から活動しており、Earth Karkaddan、Mythic Leopard、Operation C-Major、Transparent Tribeとしても追跡されているAPT36は、インド政府機関を標的としたサイバースパイ活動で知られています。パキスタンの国家支援ハッカーグループAPT36は、インド政府機関を狙った新たなキャンペーンでLinuxシステムを標的にしています。
2025年8月に行われた攻撃では、APT36は新しい感染手法を利用しています。それは、マルウェア配布のためにLinuxのデスクトップエントリ(.desktop)ファイルを使用するというものです。これらはアプリケーションのショートカットやランチャーを定義し、メタデータを含むプレーンテキストの設定ファイルです。
調達をテーマにしたフィッシングキャンペーンの一部として配布された悪意あるファイルは、ZIPアーカイブ内に文書を装って梱包されていました。開かれると、Google Driveからドロッパーを取得し、同時にFirefoxでダミーのPDFファイルを表示する仕組みだったとCloudSEKは報告しています。
ドロッパーはアンチデバッグやアンチサンドボックスのチェックを行い、システム上で永続化を設定し、WebSocketsを使ってコマンド&コントロール(C&C)サーバーとの通信を確立しようとします。
「攻撃ライフサイクルにGoogle Driveを利用することは、脅威グループの能力における大きな進化を示しており、Linuxベースの政府・防衛インフラに対してより高いリスクをもたらすスピアフィッシングの手法を導入しています」とCloudSEKは指摘しています。
Linux Boss環境向けに特化したマルウェアの使用は、APT36の高度化と柔軟性の向上を示していると、Cyfirmaは別のレポートで説明しています。
「APT36は、被害者のオペレーティング環境に応じて配信メカニズムをカスタマイズできる能力を持っており、これにより重要な政府インフラへの永続的なアクセスを維持しつつ、従来のセキュリティ制御を回避しながら成功の可能性を高めています」とサイバーセキュリティ企業は述べています。
広告。スクロールして続きをお読みください。
Cyfirmaが観測したフィッシングメールは会議通知をテーマにしていましたが、同じ感染メカニズムを利用し、.desktopファイルをローダーとして使用していました。
また、同社はAPT36がインド政府機関および関連分野に注力し続けている一方で、他国の組織も機会的に標的にしていることを指摘しています。
「Linux Bossを狙った.desktopペイロードの採用は、国産技術を悪用する戦術的な転換を示しています。従来のWindowsベースのマルウェアやモバイルインプラントと組み合わせることで、このグループがアクセス経路を多様化し、堅牢な環境でも永続性を確保しようとしている意図がうかがえます」とCyfirmaは述べています。
関連記事: その他のニュース:インド・パキスタンのサイバー攻撃、Radwareの脆弱性、xAIのリーク
関連記事: 米国・オランダ当局、パキスタンのハッキングショップネットワークを撹乱
翻訳元: https://www.securityweek.com/pakistani-hackers-back-at-targeting-indian-government-entities/