APT36 Deploys Python-Based ELF Malware in Targeted Attacks on Indian Government Agencies

与巴基斯坦有关联的网络间谍组织APT36（透明部落）已升级其针对印度政府机构的攻击活动，部署了一种复杂的基于Python的ELF恶意软件，该软件专门设计用于入侵基于Linux的BOSS操作系统环境。这一消息来源于CYFIRMA发布的研究报告。

该威胁行为者历来主要针对Windows系统，但此次通过开发可在异构政府基础设施上绕过常规安全控制的多平台工具，展示了其显著提升的技术成熟度。

攻击活动利用包含武器化Linux快捷方式文件的鱼叉式网络钓鱼邮件进行，这些文件伪装成合法文档，却在后台执行恶意负载。

攻击始于一个名为Analysis_Proc_Report_Gem_2025.zip的压缩包，其中包含一个看似标准文档的恶意.desktop快捷方式文件。与直接分发容易被检测到的ELF二进制文件不同，APT36将恶意逻辑隐藏在快捷方式文件Exec字段内的Base64编码字符串中。

.desktop快捷方式文件的功能 当该文件被执行时，会显示一个受密码保护的诱饵PDF，同时静默地从攻击者控制的基础设施中检索额外的负载。

.desktop条目从两个主要位置下载组件：从lionsdenim[.]xyz下载诱饵文档，以及从185.235.137.90:32587下载恶意负载。

安装目录管理 检索到的文件包括swcbc（一个64位ELF可执行文件）和swcbc.sh（一个用于实现持久化的shell脚本）。这两个文件均被保存到/tmp/目录并赋予执行权限，随后在后台启动。

跨平台远程访问工具 静态分析显示，该ELF二进制文件是一个基于Python的远程管理工具，使用PyInstaller编译，旨在无缝运行于Linux和Windows环境。然而，由于PDF受密码保护，LibreOffice会显示密码提示，这可能会引起用户的注意。

该恶意软件通过在Linux上创建systemd用户服务，以及在Windows上修改注册表项来实现持久化，确保在系统重启后依然存在，且无需提升权限。

一旦执行，该植入程序会执行全面的系统侦察，收集操作系统详情、主机名、用户名和网络信息，然后根据MAC地址和用户名生成唯一标识符。这种跟踪机制使攻击者能够在多次操作会话中持续识别被入侵的主机。

该RAT支持完整的命令集，包括目录遍历、文件传输、任意命令执行、Python代码注入、屏幕截图捕获以及用于批量数据外泄的自动数据归档。攻击者可以远程部署额外负载、窃取敏感文档，或执行具有完整系统访问权限的shell命令。

该二进制文件的元数据表明，它是在Debian Linux环境下使用GCC 4.9.2构建的，并链接了针对AMD64架构的GLIBC 2.3.4。

恶意ELF文件的分析 此次攻击活动的基础设施展现了典型的短生命周期操作安全模式。域名lionsdenim[.]xyz于2025年11月3日通过Namecheap注册，存在了22天，解析至位于洛杉矶的服务器67.223.118.206，该服务器托管了超过275个域名。位于德国法兰克福的负载投递服务器185.235.137.90已被多个威胁情报源确认为恶意。

选用.xyz顶级域名反映了APT36偏好低成本、验证要求最低的注册选项，这为其提供了操作灵活性和快速更换基础设施的能力，同时也加大了打击和归因的难度。

战略意义 此次攻击活动标志着APT36操作策略的重大演变，从传统的Windows恶意软件转向为印度本土BOSS操作系统量身定制的、针对Linux的工具。该组织能够根据受害者生态系统定制投递技术，显示出其对区域技术部署的深刻理解，并增强了其长期潜伏在关键政府网络中的可能性。

Linux持久化机制 该恶意软件结合了基于systemd的持久化机制、跨平台兼容性和自适应的钓鱼技术，凸显了该威胁行为者已日趋成熟，并致力于克服平台多样性。这一进展对相互关联的政府机构和运行混合Windows-Linux环境的第三方合作伙伴构成了更高的风险。

安全团队应监控包含嵌入命令的.desktop文件执行，跟踪systemd用户服务的创建，并对连接已识别IOC的网络行为进行标记。使用BOSS Linux的组织应实施应用程序允许列表、限制LibreOffice宏执行，并部署能够识别PyInstaller打包二进制文件的终端检测能力。

此次攻击活动突显了在传统上专注于Windows安全的政府部门中，迫切需要针对Linux的威胁检测，因为APT36正在持续完善其能力，以在印度的关键基础设施中进行持续的情报收集。

入侵指标