Mata-mata siber APT36 Pakistan menggunakan file .desktop Linux untuk memuat malware dalam serangan baru terhadap entitas pemerintah dan pertahanan di India.
Aktivitas ini, yang didokumentasikan dalam laporan oleh CYFIRMA dan CloudSEK, bertujuan untuk eksfiltrasi data dan akses spionase persisten. APT 36 sebelumnya telah menggunakan file .desktop untuk memuat malware dalam operasi spionase yang ditargetkan di Asia Selatan.
Serangan tersebut pertama kali terlihat pada tanggal 1 Agustus 2025, dan berdasarkan bukti terbaru, masih berlangsung.
Penyalahgunaan file desktop
Meskipun serangan yang dijelaskan dalam kedua laporan tersebut menggunakan infrastruktur dan sampel yang berbeda (berdasarkan hash), teknik, taktik dan prosedur (TTP), rantai serangan, dan tujuan yang jelas adalah sama.
Korban menerima arsip ZIP melalui email phishing yang berisi file .desktop berbahaya yang disamarkan sebagai dokumen PDF, dan diberi nama yang sesuai.
File .desktop Linux adalah peluncur aplikasi berbasis teks yang berisi opsi konfigurasi yang menentukan bagaimana lingkungan desktop seharusnya menampilkan dan menjalankan aplikasi.
Pengguna membuka file .desktop dengan mengira file tersebut adalah PDF, yang menyebabkan perintah bash yang tersembunyi di kolom 'Exec=' membuat nama file sementara di '/tmp/' tempat perintah tersebut menulis muatan berkode hex yang diambil dari server penyerang atau Google Drive.
Selanjutnya, ia menjalankan 'chmod +x' agar dapat dieksekusi dan meluncurkannya di latar belakang.
Untuk mengurangi kecurigaan korban, skrip tersebut juga meluncurkan Firefox untuk menampilkan file PDF umpan yang tidak berbahaya yang dihosting di Google Drive.
Selain manipulasi kolom 'Exec=' untuk menjalankan serangkaian perintah shell, penyerang juga menambahkan kolom seperti 'Terminal=false' untuk menyembunyikan jendela terminal dari pengguna, dan 'X-GNOME-Autostart-enabled=true' untuk menjalankan file pada setiap login.
Biasanya, file .desktop di Linux adalah file pintasan teks biasa, yang menentukan ikon, nama, dan perintah untuk dijalankan saat pengguna mengkliknya.
Namun, dalam serangan APT36, penyerang menyalahgunakan mekanisme peluncur ini untuk mengubahnya menjadi sistem dropper dan pembentukan persistensi malware, serupa dengan penyalahgunaan pintasan 'LNK' di Windows.
Karena file .desktop di Linux biasanya berupa teks, bukan biner, dan karena penyalahgunaannya tidak terdokumentasi secara luas, alat keamanan di platform tersebut kemungkinan besar tidak akan memantaunya sebagai ancaman potensial.
Payload yang dijatuhkan oleh file .desktop yang salah format dalam hal ini adalah executable ELF berbasis Go yang menjalankan fungsi spionase.
Meskipun packing dan kebingungan membuat analisis menjadi menantang, para peneliti menemukan bahwa hal ini dapat diatur agar tetap tersembunyi, atau mencoba untuk mengatur persistensinya secara terpisah menggunakan pekerjaan cron dan layanan systemd.
Komunikasi dengan C2 dilakukan melalui saluran WebSocket dua arah, memungkinkan eksfiltrasi data dan eksekusi perintah jarak jauh.
Kedua perusahaan keamanan siber ini menganggap kampanye terbaru ini sebagai tanda evolusi taktik APT36, yang kini semakin mengelak dan canggih.
0 Comments
