APT36 hackers abuse Linux .desktop files to install malware in new attacks

APT36 Exploite les Fichiers .desktop Linux pour des Attaques Sophistiquées

Le groupe APT36 cible des entités gouvernementales et de défense en Inde à l’aide d’une méthode d’attaque innovante exploitant les fichiers .desktop sous Linux. Ces attaques, actives depuis le 1er août 2025, visent l’exfiltration de données et l’établissement d’un accès persistant pour l’espionnage.

Points Clés:

• Ciblage spécifique: Les attaques visent les secteurs gouvernemental et de la défense en Inde.
• Méthode d’infection: Les victimes reçoivent des archives ZIP par email contenant un fichier .desktop malveillant, déguisé en document PDF.
• Exploitation des fichiers .desktop: Normalement utilisés pour lancer des applications, ces fichiers sont modifiés pour exécuter des commandes cachées.
• Établissement de persistance: L’ajout de X-GNOME-Autostart-enabled=true assure que le malware se lance à chaque connexion.
• Déploiement du malware: Un script caché dans le champ Exec= crée, rend exécutable et lance en arrière-plan un payload ELF basé sur Go.
• Masquage de l’activité: L’ouverture du fichier .desktop lance également Firefox avec un PDF de diversion hébergé sur Google Drive pour tromper l’utilisateur. Le champ Terminal=false masque la fenêtre du terminal.
• Malware évolué: Le payload est conçu pour rester caché, établir sa propre persistance via des cron jobs et des services systemd, et communique via un canal WebSocket bidirectionnel pour l’exfiltration de données et l’exécution de commandes à distance.
• Évasion des défenses: L’utilisation de fichiers .desktop malveillants est peu documentée, ce qui rend les outils de sécurité moins susceptibles de les détecter comme menaces.

Vulnérabilités (Non spécifiées par CVE dans l’article):

• L’exploitation du comportement des fichiers .desktop sous Linux pour exécuter des commandes arbitraires.
• La confiance des utilisateurs dans l’ouverture de fichiers se présentant comme des documents légitimes.

Recommandations:

• Vigilance accrue: Sensibiliser les utilisateurs aux risques d’ouverture de fichiers attachés dans des emails suspects, même s’ils semblent être des documents courants.
• Configuration de sécurité: Examiner et ajuster la manière dont les fichiers .desktop sont gérés et exécutés sur les systèmes Linux.
• Surveillance des activités suspectes: Mettre en place une surveillance plus poussée des processus et des communications réseau, en particulier ceux émanant de fichiers .desktop ou de modifications inattendues du système.
• Mises à jour et patchs: S’assurer que les systèmes et les logiciels de sécurité sont à jour pour se défendre contre les techniques d’exploitation connues.

Source