# DeskRAT > Tipo: **RAT Linux** - [Sekoia](https://blog.sekoia.io/deskrat-transparent-tribes-linux-rat/) > [!info] RAT Go Linux do APT36 - Ataque ao OS Governamental Indiano BOSS > O DeskRAT e um Remote Access Trojan para Linux desenvolvido em Go pelo grupo [[g0134-transparent-tribe|Transparent Tribe]] (APT36), identificado pela Sekoia em setembro de 2025. Altamente especializado para atacar o sistema operacional BOSS (Bharat Operating System Solutions) - o OS Linux desenvolvido pelo governo indiano para uso em ministeries e agencias governamentais. Usa WebSocket para comunicação C2 e ha indicios de uso de LLM no desenvolvimento do código. ## Visão Geral O [[deskrat|DeskRAT]] representa uma evolução significativa nas capacidades do [[g0134-transparent-tribe|Transparent Tribe]] (APT36): pela primeira vez, o grupo desenvolveu um RAT Linux nativo em Go, específicamente adaptado para atacar o ambiente governamental indiano. O BOSS (Bharat Operating System Solutions) e uma distribuição Linux baseada em Debian desenvolvida pelo governo indiano e implantada em ministeries, departamentos governamentais e escolas - tornando-o um alvo de alto valor para espionagem patrocinada pelo estado paquistanes. A Sekoia identificou o DeskRAT em setembro de 2025 durante análise de atividade recente do [[g0134-transparent-tribe|Transparent Tribe]]. O implante e distribuido via arquivos `.desktop` maliciosos - o equivalente Linux de atalhos Windows `.lnk` - enviados via phishing. Quando executados, os arquivos `.desktop` iniciam o DeskRAT enquanto exibem um documento decoy para a vitima. Um elemento notavel da análise técnica do DeskRAT e a qualidade e estilo do código Go, que apresenta caracteristicas consistentes com código gerado ou assistido por LLM (Large Language Model): comentarios detalhados, estrutura de código uniforme e uso consistente de boas práticas - incomum para malware desenvolvido manualmente. Isso sugere que o [[g0134-transparent-tribe|Transparent Tribe]] pode estar usando IA generativa para acelerar o desenvolvimento de implantes. **Plataformas:** Linux (Ubuntu, Debian, BOSS) ## Como Funciona O DeskRAT opera com entrega via phishing e C2 via WebSocket: 1. **Phishing direcionado**: email com arquivo `.desktop` malicioso disfarado de documento governamental ou convite para evento 2. **Execução**: vitima clica no `.desktop` - BOSS/Ubuntu executa automaticamente o comando configurado no arquivo 3. **Documento decoy**: DeskRAT exibe documento PDF/ODS como distraction enquanto instala o implante 4. **C2 via WebSocket**: comunicação bidirecional encriptada com servidor C2 ([[t1095-non-application-layer-protocol|T1095]]) 5. **Persistência**: mecanismo de persistência via systemd ou cron job 6. **Controle remoto**: shell Unix, transferencia de arquivos, reconhecimento do sistema e rede ```mermaid graph TB A["Phishing Direcionado<br/>Arquivo .desktop malicioso<br/>Funcionario governo indiano"] --> B["Execução .desktop<br/>Linux executa comando<br/>Documento decoy exibido"] B --> C["DeskRAT Instalado<br/>Binario Go Linux<br/>Persistência via systemd/cron"] C --> D["C2 via WebSocket<br/>Comúnicação bidirecional<br/>T1095 Non-App Protocol"] D --> E["Reconhecimento<br/>System info T1082<br/>Arquivos e rede T1083"] E --> F["Espionagem BOSS OS<br/>Documentos governo indiano<br/>Longo prazo"] classDef phish fill:#e74c3c,color:#fff classDef exec fill:#e67e22,color:#fff classDef install fill:#8e44ad,color:#fff classDef c2 fill:#2980b9,color:#fff classDef recon fill:#27ae60,color:#fff classDef espion fill:#2c3e50,color:#fff class A phish class B exec class C install class D c2 class E recon class F espion ``` ## Timeline ```mermaid timeline title DeskRAT - Historico 2020-2024 : APT36 foca em Windows via CapraRAT e ElizaRAT : Expansao de alvos para Linux nao documentada Set 2025 : DeskRAT identificado pela Sekoia : Primeiro RAT Linux nativo do Transparent Tribe : Alvo específico BOSS OS governo indiano : Indicios de desenvolvimento assistido por LLM Out 2025 : Análise técnica completa publicada : C2 WebSocket confirmado como técnica nova ``` ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Initial Access | [[t1566-001-spearphishing-attachment\|T1566.001]] | Arquivo .desktop via email phishing | | Execution | [[t1204-002-malicious-file\|T1204.002]] | Vitima executa arquivo .desktop malicioso | | Execution | [[t1059-004-unix-shell\|T1059.004]] | Shell Unix para execução de comandos | | Discovery | [[t1082-system-information-discovery\|T1082]] | Coleta de informações do sistema Linux | | Discovery | [[t1083-file-and-directory-discovery\|T1083]] | Enumeracao de arquivos e diretorios | | C2 | [[t1095-non-application-layer-protocol\|T1095]] | WebSocket como protocolo C2 | | C2 | [[t1071-001-web-protocols\|T1071.001]] | Comúnicação HTTP/WebSocket | | C2 | [[t1105-ingress-tool-transfer\|T1105]] | Download de ferramentas adicionais | ## Relevância LATAM/Brasil O DeskRAT tem relevância estratégica indireta para o Brasil. O [[g0134-transparent-tribe|Transparent Tribe]] foca exclusivamente no subcontinente indiano, mas a técnica de atacar sistemas operacionais governamentais Linux e um padrao que pode ser replicado por outros atores contra alvos brasileiros. O governo brasileiro tem projetos de uso de sistemas Linux (como o TempOS/GNU-Linux) em agencias governamentais, que poderiam ser alvos analogos. Para equipes de [[government|governo]] brasileiro, o DeskRAT e relevante como caso de estudo: arquivos `.desktop` maliciosos sao um vetor pouco explorado em deteccoes tradicionais Windows-centric, e a técnica e transferivel para outros ambientes Linux governamentais. **Setores historicamente impactados:** [[government|governo]] - defesa - educação ## Detecção - Monitorar criação e execução de arquivos `.desktop` recebidos por email ou download - Alertar para binarios Go (tamanho grande, strings de runtime Go) executados por usuarios governamentais - Detectar conexoes WebSocket (upgrade HTTP para ws://) por processos desconhecidos - Verificar integridade de pacotes `.desktop` em ambientes BOSS - hash comparado com repositorio oficial ```sigma title: DeskRAT Suspicious .desktop File Execution status: experimental logsource: category: process_creation product: linux detection: selection: CommandLine|contains: - '.desktop' parent_process: ParentImage|endswith: - '/bash' - '/sh' - '/nautilus' filter_known: CommandLine|contains: - '/usr/share/applications/' - '/usr/local/share/applications/' condition: selection and parent_process and not filter_known level: high tags: - attack.initial-access - attack.t1566.001 ``` ## Referências - [1](https://blog.sekoia.io/deskrat-transparent-tribes-linux-rat/) Sekoia - DeskRAT Transparent Tribe Linux RAT Analysis (2025) - [2](https://attack.mitre.org/groups/G0134/) MITRE ATT&CK - Transparent Tribe Group Profile G0134 (2024) - [3](https://malpedia.caad.fkie.fraunhofer.de/actor/transparent_tribe) Malpedia - Transparent Tribe Actor Profile (2024) - [4](https://www.sentinelone.com/labs/transparent-tribe-apt36-targets-india/) SentinelOne - Transparent Tribe APT36 India Targeting (2024) - [5](https://therecord.media/transparent-tribe-apt36-linux-malware) The Record - Transparent Tribe Expands to Linux Targets (2025)