APT36, sahte Linux .desktop dosyalarıyla Hindistan’daki devlet ve savunma kurumlarını hedef aldı

Siber güvenlik firmaları CYFIRMA ve CloudSEK, APT36 grubunun yeni bir saldırı kampanyasını belgeledi. Grup, 1 Ağustos 2025’ten bu yana tespit edilen saldırılarda Linux sistemlerinde kullanılan .desktop dosyalarını kötüye kullanıyor.

Saldırı zinciri

• Hedef kurumlara gönderilen ZIP dosyaları, PDF gibi görünen fakat gerçekte zararlı komutlar içeren bir .desktop dosyası barındırıyor.
• Kullanıcı dosyayı açtığında, Exec= alanına gizlenmiş bash komutları tetikleniyor.
• Komut, saldırganın sunucusundan veya Google Drive’dan hex kodlu zararlı yük indiriyor, /tmp/ dizinine yazıyor ve çalıştırılabilir hale getiriyor.
• Ardından zararlı arka planda çalışırken, şüphe çekmemek için Firefox’ta masum görünen bir PDF açılıyor.
• APT36, dosyanın tespit edilmemesi için Terminal=false ile terminal penceresini gizliyor, X-GNOME-Autostart-enabled=true ile de dosyanın her oturum açılışında çalışmasını sağlıyor.

Yüklenen zararlı yazılım

Zararlı dosya, Go tabanlı ELF yürütülebilir dosyası şeklinde çalışıyor ve şu işlevlere sahip:

• Veri sızdırma ve uzaktan komut yürütme
• cron job veya systemd hizmetleriyle kalıcılık sağlama
• WebSocket kanalı üzerinden çift yönlü C2 iletişimi kurma

Araştırmacılar, zararlı yazılımın paketlenmesi ve gizlenmesi nedeniyle analizin zorlaştığını ancak casusluk amaçlı işlevler barındırdığını belirtiyor.

APT36’nın taktiksel evrimi

Daha önce Güney Asya’da benzer saldırılar yürüten APT36, Windows sistemlerinde .LNK dosyalarının kötüye kullanılması gibi, şimdi Linux’ta .desktop dosyalarını bir tür zararlı yükleyici ve kalıcılık aracı haline getirmiş durumda.

Uzmanlar, bu yeni kampanyanın grubun giderek daha sofistike ve tespit edilmesi zor yöntemlere yöneldiğini gösterdiğini belirtiyor.

Kaynak: Beykozun Sesi