Эксперты предполагают, что хакерская группировка из Пакистана применяет в кибератаках вредоносное ПО, возможно, разработанное с использованием технологий искусственного интеллекта. Обнаружены версии для обеих популярных операционных систем — Linux и Windows. При этом в последний период отмечена возросшая активность именно Linux-версии.
Предположительно пакистанская хакерская группа в августе-сентябре организовала фишинговую кампанию против государственных структур Индии. В случаях успешного проникновения в системы жертв устанавливался шпионский модуль DeskRAT — специализированное средство для получения удалённого контроля, что очевидно из его названия.
Кибератаки инициируются через фишинговые сообщения, содержащие ZIP-архив либо ссылку на архив, размещённый на доверенном облачном сервисе. Внутри архива находится файл с расширением .desktop (для Linux-сред), который содержит инструкции для отображения через браузер Firefox поддельного документа под названием CDS_Directive_Armed_Forces.pdf, а также реализует многоэтапную процедуру загрузки и активации вредоносных компонентов.
Специалисты компании Sekoia заявляют, что за атаками стоит группа TransparentTribe (APT36), имеющая связи с пакистанскими спецслужбами.
Схема заражения специально настроена для работы с операционными системами BOSS (Bharat Operating System Solutions) — индийским дистрибутивом Linux, поддерживаемым на государственном уровне.
Аналитики Sekoia обратили внимание на несколько необычных особенностей. Поскольку системы BOSS созданы на базе Debian, перед запуском .desktop-файла появляется предупреждение о его исполняемой природе.
Кроме того, в коде вредоносного загрузчика присутствует критически важная команда xxd, однако по умолчанию эта утилита отсутствует в дистрибутиве BOSS, хотя широко распространена в других Linux-системах.
«Данное техническое решение вызывает вопросы, особенно учитывая, что остальные элементы атаки полностью полагаются на стандартные Linux-команды — eval, echo и прочие», — отмечается в отчёте Sekoia.
Исследователи предполагают, что код DeskRAT мог быть создан с применением языковой модели: на это указывают предельно стандартизированные названия функций, характерные для случаев, когда ИИ получает задание «Перечисли методы скрытности для Linux и реализуй их на языке Go».
В результате в программе присутствует обширный перечень функций, которые последовательно активируются вредоносным кодом, иногда многократно повторяясь.
«Хотя каждая функция действительно выполняет действия, соответствующие её названию, вычисляемые или изменяемые данные далее не используются программой», — поясняют эксперты, добавляя, что несмотря на присутствие в названиях функций слов «advanced» и «sophisticated», реальной сложности или изощрённости в их работе не наблюдается.
«Учитывая, что значительная часть современного кода генерируется системами LLM — то есть искусственным интеллектом, — неудивительно, что специализированное вредоносное ПО тоже создаётся с их помощью, — отмечает Александр Каушанский, генеральный директор ГК «Программный Продукт». — Вероятно, что данный вредонос разрабатывался под конкретные, предварительно изученные системы. Этим может объясняться наличие в коде команды, которая не поддерживается целевыми дистрибутивами по умолчанию, но может присутствовать в атакуемых окружениях».
DeskRAT применяет целых четыре способа для сохранения устойчивого присутствия в системе: регистрирует службу systemd, добавляет задание в планировщик cron, прописывается в автозагрузку и использует .bashrc для запуска троянца через shell-скрипт, сохраняемый в папку .config/system-backup.
В части вредоносных функций DeskRAT поддерживает лишь пять команд — ping, heartbeat, browse_files, start_collection и upload_execute. Первые две обеспечивают базовый обмен данными с управляющими серверами, следующие две — операции с файлами (только определённых типов и объёмом до 100 МБ), а последняя — загрузку и выполнение дополнительных вредоносных модулей.
Управляющие серверы скрыты: они отсутствуют в публичных NS-записях домена, где размещены.
Ранее специалисты QiAnXin XLab описывали похожую кампанию против Windows-сред, получившую у них название StealthServer. Предположительно, за ней также стоит группа TransparentTribe.
Эксперты XLab выявили сразу три варианта Windows-вредоносов, зафиксированных в июле-августе 2025 года. Основные отличия между ними заключались в методах обнаружения отладчиков и способах связи с командными серверами (TCP, WebSocket).
В XLab также перехватили Linux-версии StealthServer. Судя по всему, они являлись ранними модификациями DeskRAT.
