Эксперты предполагают, что пакистанская APT-группа применяет в кибератаках вредоносное ПО, возможно, разработанное с использованием искусственного интеллекта. Существуют модификации для обеих операционных систем — Linux и Windows. При этом в последнее время зафиксирована возросшая активность версии, ориентированной на Linux.
Предположительно пакистанская хакерская группировка в августе-сентябре организовала фишинговую кампанию против государственных структур Индии. В случаях успешного проникновения в системы жертв устанавливался шпионский инструмент DeskRAT, который, как следует из названия, обеспечивает злоумышленникам удалённый доступ.
Атаки инициируются через фишинговые сообщения, содержащие ZIP-архив или ссылку на архив, размещённый на доверенном облачном сервисе. Внутри архива находится файл с расширением .desktop (для Linux-сред), который содержит команды для отображения через браузер Firefox файла-приманки — документа под названием CDS_Directive_Armed_Forces.pdf — и для многоэтапной загрузки и активации вредоносного кода.
Специалисты компании Sekoia заявляют, что за этими атаками стоит группа TransparentTribe (APT36), связанная с пакистанскими спецслужбами.
Цепочка заражения специально настроена под операционные системы BOSS (Bharat Operating System Solutions) — производную Linux, продвигаемую на государственном уровне в Индии.
Аналитики Sekoia обратили внимание на некоторые несоответствия. Системы BOSS основаны на дистрибутивах Debian, и перед запуском .desktop-файла появляется предупреждение о том, что файл является исполняемым.
Кроме того, в коде вредоносного загрузчика присутствует команда xxd, играющая ключевую роль во всей цепочке заражения. Однако по умолчанию эта команда отсутствует в дистрибутиве BOSS — в отличие от многих других систем.
«Подобное техническое решение сложно объяснить, особенно учитывая, что остальные этапы атаки полностью полагаются на стандартные Linux-команды — eval, echo и другие», — отмечается в отчёте Sekoia.
Вероятно, вредонос DeskRAT был создан с применением языковой модели: на это указывают предельно шаблонные названия функций, что свидетельствует о том, что искусственному интеллекту просто дали указание «Перечисли методы скрытности для Linux и реализуй их на языке GOLANG».
В результате код содержит обширный перечень функций, которые последовательно вызываются вредоносной программой, иногда по нескольку раз.
«Хотя все эти функции действительно выполняют действия, заявленные в их названиях, вычисляемые или изменяемые данные далее не используются программой», — пишут исследователи, добавляя, что несмотря на наличие в названиях функций слов advanced и sophisticated («продвинутый» и «усложнённый»), на практике они не демонстрируют никакой сложности или изощрённости.
«Поскольку значительная часть программного кода в современном мире генерируется LLM-платформами — то есть системами искусственного интеллекта, — логично предположить, что и специализированное вредоносное ПО разрабатывается с их применением, — отмечает Александр Каушанский, руководитель ГК «Программный Продукт». — Вероятно, что данный зловред создавался под конкретные, предварительно изученные системы. Этим может объясняться наличие в коде команды, которая не поддерживается целевыми дистрибутивами по умолчанию, но может присутствовать в атакуемых окружениях».
DeskRAT применяет целых четыре различных подхода для сохранения устойчивого присутствия в системе: регистрирует службу systemd, добавляет задание в планировщик cron, прописывается в автозагрузку и использует .bashrc для активации троянца через shell-скрипт, размещаемый в директории .config/system-backup.
В части вредоносных функций DeskRAT ограничивается пятью командами — ping, heartbeat, browse_files, start_collection и upload_execute. Первые две обеспечивают базовый обмен информацией с управляющими серверами, следующие две отвечают за файловые операции (только с файлами определённых типов размером до 100 МБ), а последняя — за загрузку и запуск дополнительных вредоносных модулей.
Управляющие серверы скрыты: они отсутствуют в публичных NS-записях доменной зоны, где размещены.
Ранее аналитики QiAnXin XLab документировали схожую кампанию против Windows-сред, получившую внутри лаборатории название StealthServer. Предположительно, её источником также является группа TransparentTribe.
Специалисты XLab выявили три модификации Windows-вредоносов, зафиксированных в июле-августе 2025 года. Основные различия между ними касались методов детектирования отладчиков и протоколов взаимодействия с командными серверами (TCP, WebSocket).
В XLab также удалось перехватить Linux-версии StealthServer. Судя по характеристикам, они являлись ранними вариантами DeskRAT.
