En az 2013’ten bu yana aktif olan Pakistan bağlantılı bir saldırı girişimi olan TransparentTribe, Hint askeri ve savunma kuruluşlarının Linux tabanlı sistemlerini hedef alan siber casusluk operasyonlarını yoğunlaştırdı.
İlk olarak Temmuz 2025’te CYFIRMA tarafından belgelenen ve etkinliği Haziran 2025’e kadar uzanan kampanya, DeskRAT adı verilen gelişmiş Golang tabanlı bir uzaktan erişim truva atının geliştirilmesiyle önemli ölçüde gelişti.
Bu kötü amaçlı yazılım, grubun teknik yeteneklerinde kayda değer bir artışı temsil ediyor ve Hindistan’ın savunma çıkarlarına karşı stratejik siber hakimiyetini sürdürme konusundaki kararlılıklarını gösteriyor.
Saldırı kampanyası, kötü amaçlı ZIP arşivleri içeren kimlik avı e-postalarıyla başlayan, aldatıcı derecede basit ama etkili, çok aşamalı bir dağıtım mekanizması kullanıyor.
Bu arşivler, ilk tespitten kaçınmak için “MoM_regarding_Defence_Sectors_by_Secy_Defence” gibi zararsız görünen adlarla gizlenmiştir.
Arşivler, çıkarıldıktan sonra meşru bir PDF belgesi gibi görünen ve aldatmacayı güçlendiren bir PDF simgesiyle tamamlanan MASAÜSTÜ bir dosyayı ortaya çıkarıyor.
Dosya, şüphelenmeyen kullanıcılar tarafından yürütüldüğünde, sonuçta güvenliği ihlal edilmiş sistemlere kalıcı uzaktan erişim sağlayan karmaşık bir enfeksiyon zincirini tetikliyor.
Sekoia analistleri, tehdit tespit sistemleri aracılığıyla bu kampanyanın gelişimini tespit edip analiz etti ve Ağustos ve Eylül 2025’te güncellenmiş bir enfeksiyon zincirini ortaya çıkaran yeni örnekler keşfetti.
.webp)
Araştırmacılar, etkinliği izlemek için birden fazla YARA kuralı uyguladılar ve daha önce diğer güvenlik sağlayıcıları tarafından bilinmeyen örnekler buldular; bu da grubun geleneksel tespit mekanizmalarının önünde kalma çabalarına işaret ediyor.
Bu keşif, TransparentTribe’ın operasyonlarının karmaşıklığını ve gelişen doğasını vurguluyor.
Bu kampanyayı destekleyen teknik altyapı da geliştirildi. İlk kimlik avı e-postaları, hedefleri Google Drive gibi meşru bulut hizmetlerinde barındırılan ZIP dosyalarına yönlendirdi, ancak operasyon daha sonra özel hazırlama sunucularına kaydırıldı.
Bu evrim, operasyonel güvenlik farkındalığını ve güvenlik ekipleri tarafından daha kolay izlenebilecek veya askıya alınabilecek üçüncü taraf platformlara güvenmekten kaçınma çabasını göstermektedir.
Gömülü Gizleme Yoluyla Yanıltıcı Enfeksiyon Mekanizması
Bu kampanyada kullanılan MASAÜSTÜ dosyası, kötü amaçlı Bash komutlarını binlerce satırlık yorumlanmış PNG görüntü verisi içinde gizleyen, özellikle ustaca bir gizleme tekniği içeriyor.
gerçek [Desktop Entry] Kötü amaçlı yazılım yürütme talimatlarını içeren bölüm, iki büyük PNG veri bloğu arasına stratejik olarak yerleştirilmiştir ve yükün rastgele incelemeden etkili bir şekilde gizlenmesini sağlar.
Bu katmanlama tekniği, dosyayı inceleyen tipik bir kullanıcının, gömülü komutları keşfetmeden önce çok büyük miktarda görüntü verisiyle karşılaşacağı gerçeğinden yararlanır.
Dosya aktivasyonu üzerine yürütülen Bash tek satırlık karmaşık, çok aşamalı bir yük dağıtımını düzenler.
Komut önce bir zaman damgası kullanarak /tmp/ dizininde benzersiz bir dosya adı oluşturur, ardından belirli hata işleme işaretleriyle curl kullanarak uzak hazırlama sunucusundan kodlanmış bir ikili dosya indirir.
İndirilen içerik ikili kod çözmeye tabi tutulur: xxd kullanılarak ilk onaltılık dönüştürme ve ardından Base64 şifre çözme.
Yük, kodu çözüldükten sonra doğrudan değerlendirme yoluyla yürütülür ve sistemin anında kontrolünü ele geçirir.
Eş zamanlı olarak enfeksiyon zinciri, saldırganın sunucusunda barındırılan sahte bir PDF belgesini görüntülemek için Firefox’u başlatır ve RAT sessizce varlığını tespit ederken yasal bir belgenin açıldığı yanılsamasını yaratır.
Bu koordineli yürütme, kötü amaçlı yazılım yüklemesi için sosyal mühendislik koruması sağlar.
DeskRAT, WebSocket bağlantıları aracılığıyla komuta ve kontrol iletişimini kendisi sürdürerek saldırganlar ve ele geçirilen sistemler arasında gerçek zamanlı etkileşime olanak tanır.
Kötü amaçlı yazılımın Golang uygulaması, platformlar arası uyumluluk ve gelişmiş kalıcılık yetenekleri sağlayarak onu özellikle Hindistan askeri altyapısında kullanılan çeşitli Linux ortamlarına karşı etkili kılıyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
