g0134-transparent-tribe

# Transparent Tribe ## Visão Geral O **Transparent Tribe** (também rastreado como **APT36**, **Operation C-Major** e **Mythic Leopard**) e um grupo de ciberespionagem com origem no **Paquistao**, ativo desde pelo menos **2013**. O grupo e um dos atores mais persistentes e prolixos do Sul da Asia, com campanhas ininterruptas contra o **governo indiano, forcas armadas, diplomaticos e instituicoes academicas**. Sua missao e coletar inteligência estratégica para apoiar os objetivos militares e diplomaticos do Paquistao, especialmente em relacao a India. O grupo e notavel pela sua **rapidez de evolução de toolset**: partiu de RATs públicos modificados (njRAT, DarkComet) para uma arsenal proprietario com cinco familias de malware customizadas ativas em paralelo. O pico tecnológico mais recente (2025) foi o **DeskRAT** - um RAT escrito em Golang, com desenvolvimento assistido por LLM, capaz de comprometer sistemas **BOSS Linux** (o sistema operacional oficial do governo indiano), usando arquivos `.desktop` como vetor - uma técnica sem precedentes documentados para este grupo. Em 2026, novos ataques com RAT baseado em HTA com **detecção de antivirus instalado** e ajuste automatico de persistência foram identificados pela CYFIRMA. Mais de **100 dominios de phishing** foram descobertos apenas na campanha de 2025, muitos impersonando orgaos governamentais indianos, indicando uma operação de infraestrutura em larga escala. ```mermaid graph TB A["Spearphishing ZIP com .desktop ou LNK tema governo/defesa"] --> B["Dropper Stage 1 Bash one-liner download payload base64"] B --> C["DeskRAT Golang BOSS Linux RAT WebSocket C2"] C --> D["Persistência Linux systemd service cron + autostart GNOME"] D --> E["Exfiltração Docs < 100MB modgovindia C2"] E --> F["Targets adicionais Ferrovias, gas, MAE India 100+ dominios phishing"] style A fill:#2980b9,color:#fff style B fill:#8e44ad,color:#fff style C fill:#e67e22,color:#fff style D fill:#c0392b,color:#fff style E fill:#2c3e50,color:#fff style F fill:#196f3d,color:#fff ``` ## Atribuicao Transparent Tribe e atribuido ao Paquistao com **alta confiança** com base em: - Foco exclusivo em alvos de interesse estratégico paquistanes (India, Afeganistao, Caxemira) - Documentos decoy em idioma urdu e hindi, alusivos a eventos politicos bilaterais India-Paquistao - Campanhas sincronizadas com eventos geopoliticos (ataques em Pahalgam, protestos em Ladakh, tensoes no Kashmir) - Infraestrutura registrada sob identidades correlacionadas com campanhas anteriores confirmadas - Sobreposicao tática com SideCopy - sub-cluster que compartilha TTPs, infraestrutura e decoys similares - Atividade 24/7 consistente com timezone UTC+5 (Pakistan Standard Time) ## Arsenal - Evolução 2013-2026 | Período | Ferramenta | Plataforma | Novidade | |---------|-----------|-----------|----------| | 2013-2018 | njRAT, DarkComet | Windows | RATs públicos adaptados | | 2018-2022 | [[crimson\|Crimson RAT]] | Windows | Primeiro RAT proprietario do grupo | | 2021-2022 | [[s0644-obliquerat\|ObliqueRAT]] | Windows | Drive-by via sites comprometidos | | 2022-2024 | [[capraRat\|CapraRAT]] | Android | RAT Android embarcado em apps de chat | | 2023-2024 | [[elizarat\|ElizaRAT]] | Windows | C2 via Telegram, Slack, Google Drive | | 2025 | [[deskrat\|DeskRAT]] | Linux (BOSS) | Golang, WebSocket, LLM-assisted | | 2026 | HTA RAT iinneldc.dll | Windows | AV-detection + persistência adaptativa | ### [[deskrat|DeskRAT]] (2025 - destaque tecnico) Marcou a primeira campanha documentada do grupo contra **BOSS Linux** - o sistema operacional criado pelo governo indiano para substituir Windows em ambientes sensiveis. Aspectos tecnicos notaveis: - Escrito em **Golang** com nomes de funções uniformes, indicando desenvolvimento assistido por LLM - Vetor: arquivos `.desktop` mascarados de PDFs do Ministerio da Defesa - Executa **Bash one-liner** que baixa payload base64 de servidores staging (modgovindia[.]com) - Quatro métodos de persistência simultaneos: **systemd service**, **cron job**, **GNOME autostart**, **.bashrc** - C2 via **WebSocket** em "stealth servers" - servidores sem NS records públicos - Interface operadora: "Advanced Client Monitoring & File Management System" (painel web) - Capacidades: browse_files, start_collection (exfiltra docs < 100MB), upload_execute, ping/heartbeat ### [[elizarat|ElizaRAT]] (2023-2024 - 3 variantes) RAT Windows descoberto em setembro 2023, com tres variantes documentadas pela Check Point Research: - **Variante Slack**: C2 via Slack API, executa como CPL file - **Variante Circle** (ján/2024): Dropper aprimorado, C2 via VPS direto (sem cloud), menor taxa de detecção - **Variante Google Drive**: C2 via Google Cloud, baixa stealers de VPS secundarios Payload associado: **ApoloStealer** - exfiltra arquivos de Desktop por extensao, armazena em SQLite antes de enviar. ### [[crimson|Crimson RAT]] (2018-presente) RAT primario para Windows. Ainda ativo em 2026 (campanha de fevereiro 2026 via ISO com tema de startups de cibersegurança). Capacidades incluem exfiltração de arquivos, enumeracao de processos, detecção de AV instalado e controle remoto completo. ## Campanhas Notaveis ```mermaid graph TB K1["2023-2024 ElizaRAT Windows 3 variantes Slack/Circle/GDrive"] --> K2["Abr 2025 Pahalgam attack lure Crimson RAT PPAM"] K2 --> K3["Jun-Set 2025 DeskRAT BOSS Linux 100+ phishing domains"] --> K4["Set 2025 Proteitos Ladakh DeskRAT nova onda"] K4 --> K5["Nov 2025 Ferrovias + MAE India Poseidon via Hunt.io"] --> K6["Ján 2026 HTA RAT AV-adaptive iinneldc.dll Windows"] style K1 fill:#7f8c8d,color:#fff style K2 fill:#2980b9,color:#fff style K3 fill:#e67e22,color:#fff style K4 fill:#c0392b,color:#fff style K5 fill:#8e44ad,color:#fff style K6 fill:#e74c3c,color:#fff ``` | Período | Alvo | Vetor | Malware | Destaque | |---------|------|-------|---------|----------| | 2023-2024 | Governo/diplomaticos India | CPL via Google Storage | ElizaRAT (3 variantes) | C2 por Telegram, Slack e Google Drive | | Abr 2025 | Governo indiano | PPAM malicioso | Crimson RAT | Explorou ataque Pahalgam como lure | | Jun-Set 2025 | Defesa/governo India (BOSS Linux) | ZIP + .desktop file | DeskRAT | Primeiro RAT Go p/ BOSS Linux, LLM-developed | | Nov 2025 | Ferrovias, gas, MAE India | Phishing + Poseidon | Poseidon backdoor | Expansao de setores alvejados | | Fev 2026 | Startups de cibersegurança India | ISO com Crimson RAT | Crimson RAT | Novo setor: ecossistema de startups OSINT | | Ján 2026 | Governo/academicos India | LNK -> HTA -> DLL | iinneldc.dll RAT | Detecta AV e adapta persistência automaticamente | ## Técnicas de Ataque - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - vetor primario Windows - [[t1566-002-spearphishing-link|T1566.002 - Spearphishing Link]] - links para ZIP em staging servers - [[t1204-002-malicious-file|T1204.002 - Malicious File]] - .desktop files (Linux) e LNK (Windows) - [[t1059-004-unix-shell|T1059.004 - Unix Shell]] - Bash one-liner para download e execução - [[t1053-003-cron|T1053.003 - Cron]] - persistência Linux via crontab - [[t1543-002-systemd-service|T1543.002 - Systemd Service]] - persistência Linux via systemd - [[t1568-dynamic-resolution|T1568 - Dynamic Resolution]] - C2 com stealth servers (sem NS records) - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - payloads em base64 - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Masquerading]] - .desktop disfarado de PDF - [[t1113-screen-capture|T1113 - Screen Capture]] - via ElizaRAT e Crimson RAT - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2]] - exfiltração via WebSocket ## Infraestrutura e IoCs - **Dominios staging**: modgovindia[.]com, modgovindia[.]space, seemysitelive[.]store - **C2 pattern**: stealth servers sem registros NS públicos - dificultam threat hunting passivo - **Hospedagem**: AlexHost utilizado para 100+ dominios phishing da campanha de 2025 - **Fingerprint**: arquivos Golang com funções prefixadas uniformemente (indicativo de LLM) - **Decoy lures**: documentos de defesa indiana, comúnicados do Ministerio, temas de eventos reais (Ladakh, Pahalgam) ## Relevância para o Brasil e LATAM Transparent Tribe concentra suas operações no Sul da Asia e nao possui historico de campanhas direcionadas ao Brasil. Entretanto, o grupo e relevante para o cenário LATAM por tres vetores: **Risco diplomatico moderado:** - A embaixada indiana no Brasil e missoes diplomaticas indianas na regiao sao alvos potenciais - o grupo compromete embaixadas dos paises-alvo em qualquer regiao do mundo - Diplomaticos brasileiros com missoes em India, Afeganistao ou Paquistao podem ser alvejados - O [[government|Ministerio das Relacoes Exteriores]] brasileiro com relacoes nos paises-alvo pode receber spearphishing de coleta lateral **Relevância técnica para defenders LATAM:** - A técnica de **.desktop files como dropper Linux** e nova e adaptavel a qualquer ambiente Linux governamental ou corporativo - risco real para ambientes Linux em servidores LATAM - O modelo de **C2 via servidores sem NS records públicos** (stealth servers) e uma técnica defensiva de detecção avancada relevante para SOCs brasileiros - A capacidade de **detectar AV instalado e adaptar persistência** (2026) representa maturidade evasiva aplicavel por outros atores **Spillover de técnicas:** - O modelo de **LLM-assisted malware development** demonstrado no DeskRAT e uma tendencia que defenders globais precisam incorporar em suas capacidades de detecção - Grupos de espionagem regionais (incluindo LATAM) poderao adotar técnicas similares de RAT cross-platform (Windows + Linux) com desenvolvimento acelerado por IA ## Referências - [Sekoia.io - TransparentTribe DeskRAT (Out 2025)](https://blog.sekoia.io/transparenttribe-targets-indian-military-organisations-with-deskrat/) - [The Hacker News - APT36 DeskRAT (Out 2025)](https://thehackernews.com/2025/10/apt36-targets-indian-government-with.html) - [CYFIRMA - Transparent Tribe BOSS Linux (Ago 2025)](https://cyberpress.org/transparenttribe-linux-deskrat/) - [Check Point Research - ElizaRAT Evolution (Nov 2024)](https://research.checkpoint.com/2024/the-evolution-of-transparent-tribes-new-malware/) - [Acronis TRU - Transparent Tribe Startups (Fev 2026)](https://www.acronis.com/en/tru/posts/new-year-new-sector-transparent-tribe-targets-indias-startup-ecosystem/) - [The Hacker News - Transparent Tribe RAT HTA (Ján 2026)](https://thehackernews.com/2026/01/transparent-tribe-launches-new-rat.html) - [Kaspersky ICS CERT - APT Q3 2025](https://ics-cert.kaspersky.com/publications/reports/2025/12/01/apt-and-financial-attacks-on-industrial-organizations-in-q3-2025/) - [MITRE ATT&CK - G0134](https://attack.mitre.org/groups/G0134/)