Transparent Tribe, beter bekend als APT36, voert sinds begin Augustus een gerichte spionagecampagne tegen Indiase overheidsdiensten waarbij zowel Windows als BOSS Linux systemen worden benaderd via ogenschijnlijk onschuldige snelkoppelingen op het bureaublad die na openen automatisch malware binnenhalen en uitvoeren, een aanpak die de aanvalsvector vergroot en de kans op langdurige aanwezigheid in netwerken zichtbaar vergroot.
De toegang start met spearphishing waarbij zipbestanden circuleren met een zogenaamd vergaderdocument dat in werkelijkheid een .desktop bestand bevat met de naam Meeting_Ltr_ID1543ops.pdf.desktop, na een dubbelklik opent de browser een echt uitziend PDF op Google Drive om argwaan te temperen terwijl op de achtergrond een Go binaire wordt gedropt en gestart, met persistentie via een cron taak en autostart zodat het implant na een herstart opnieuw actief wordt.
Onder de motorkap valt op dat het script een hex gecodeerd bestand ophaalt bij een nieuw geregistreerd domein en dit omzet naar een uitvoerbaar ELF bestand, waarna communicatie volgt met een hard gecodeerd command and control eindpunt op modgovindia.space poort vierduizend, onderzoek koppelt tevens het domein securestore.cv aan deze campagne wat past bij de gewoonte van APT36 om disposable infrastructuur te gebruiken die kort voor inzet is aangemaakt.
CloudSEK beschrijft parallelle observaties waarin dezelfde techniek wordt ingezet om vanaf Google Drive een payload te serveren die na systeemreconnaissance via een websocket kanaal verdere instructies en modules ophaalt, een patroon dat eerdere activiteiten van APT36 aanvult waar onder meer CapraRAT en Crimson RAT werden gebruikt en waar misleiding via lookalike apps en portalen terugkeert.
De campagne sluit aan bij een langdurige focus op Indiase instellingen waarbij APT36 en de verwante cluster SideCopy eerder met nagemaakte inlogpagina’s probeerden inloggegevens en tweestapscodes te onderscheppen, recente onderzoeken tonen bovendien dat andere Zuid-Aziatische actoren tegelijk via Netlify en Pages.dev officiële portalen nabootsen richting overheden in Nepal Bangladesh Pakistan Sri Lanka en Turkije waardoor de regionale dreiging breder is dan een groep en een techniek.
Voor Suriname is dit geen ver-van-mijn-bed verhaal want dezelfde bouwstenen komen in elke phishingketen terug, denk aan uitnodigingen voor een overleg, een document dat zogenaamd snel moet worden bekeken en een bijlage die eruitziet als een gewone pdf terwijl technische details zoals .desktop of .lnk op het scherm niet meteen opvallen, wie in overheid, onderwijs, zorg of logistiek werkt herkent de drukte van de inbox en weet hoe weinig tijd er soms is om elk bestand kritisch te bekijken, juist daar ontstaat ruimte voor een sluipende eerste klik die later duur uitpakt.
Ervaringen uit de dagelijkse praktijk van lokale Cyber Security bedrijven zoals Avigdor laten zien dat simpele veranderingen veel schade voorkomen wanneer de poortwachters in de keten dezelfde reflex aanleren, laat bestanden uit wereldschrijfbare mappen niet uitvoeren, blokkeer het starten van .desktop en onbekende .elf bijlagen buiten whitelists, geef medewerkers een zandbakknop om verdachte bijlagen veilig te openen en laat e-mailfilters standaard nieuwe domeinen en verkortingslinks extra streng beoordelen, wie daarnaast periodiek oefent met realistische phishing en seinen van EDR en DNS-monitoring zichtbaar maakt in de operatiekamer van de organisatie ziet dat incidenten niet alleen sneller worden ontdekt maar ook kleiner blijven. Kies voor rust in de procedure, eerst controleren en pas dan klikken, een gewoonte die de meeste aanvallers sneller ontmoedigt dan welke slogan dan ook.
