Os pesquisadores da Cyfirma descobriram uma campanha que codificaram o “Oneflip”, uma operação que demonstra como uma modificação de bits única dentro de um arquivo aparentemente benigno pode ser suficiente para lançar novamente um fluxo de trabalho de segurança acionado por rede neural e abrir um backdoor no host subjacente.
A Tribo Transparente (APT36) está alavancando o truque contra as redes governamentais da Índia que dependem da distribuição indígena-chefe GNU/Linux, enquanto continua a executar uma atração paralela de janelas para ambientes de fletas mistas.
A atração do grupo, vista pela primeira vez em 1 de agosto de 2025, chega por Email de phishing de lança como o arquivo “Meeting_Notice_LTR_ID1543OP.PDF_.ZIP”.
Inside fica um atalho chamado “Meeting_LTR_ID1543OPs.pdf.desktop” cujo ícone, tipo MIME e nome do arquivo convencem a maioria dos usuários e, crucialmente, muitos gateways de correio baseados em aprendizado de máquina que é apenas um link PDF.
APT36 Armazias de armas linux “.Desktop”
A novidade está na linha EXEC =. Ao alternar um único caráter hexadecimal, os atacantes substituem a chamada legítima do espectador por um bash uma linha: Curl recupera silenciosamente uma carga útil codificada por HXXPS: // SecureStore[.]cv /mt_dated_29.txt, transa através de xxd para reconstruir o elfo bruto, o solta em /tmp com um nome de registro de data e hora, marca ele executável e o inicia em Nohup.
Firefox é então aberto em um inócuo Google Drive PDF para completar a ilusão de normalidade.
Como o arquivo é declarado tipo = aplicativo e terminal = false, nenhum console aparece, enquanto o X-Gnome-Autostart-inabedd = True garante o atalho dispara em cada login, lançando um bit de persistência nos metadados da sessão do usuário.
A inspeção estática do ELF secundário (“Meeting_LTR_ID1543OPS.PDF-.ELF”, MD5 5BFEEAE3CC9386513DC7C301C61E67A7) revela nomes de seções de despojamento, regiões de Nobits superdimensionadas e string codificada por Hxxp: //[.]Espaço: 4000.
A análise de tempo de execução confirma que o implante registra um timer de sistema por usuário denominado SystemUpdate.Service e se duplica para ~/.config/Systemd/Systemd-update e, em seguida, grava uma entrada de cron reinicializada.
Persistência furtiva estabelecida
Os traços de soquete mostram consultas DNS não bloqueadas via 127.0.53 que resolvem o modgovindia[.]espaço para 45[.]141[.]58[.]199, após o qual um canal bidirecional criptografado é negociado no TCP/4000 para a exfiltração de Tasking e dados.
O implante já foi pego listagens de diretórios de sifão, bancos de dados de usuários locais e teclas SSH, indicando que o adversário está encenando um movimento lateral mais amplo.
O apelido do Oneflip reflete a capacidade da campanha de derrotar os pipelines de inspeção automatizados que agora dependem fortemente de classificadores de aprendizado profundo.
Ao incorporar sua lógica maliciosa na sequência EXEC não estruturada e alterar apenas um único byte em relação a um modelo legítimo, o atalho mantém um vetor de recurso quase idêntico; A rede neural continua a pontuar como benigna, enquanto os operadores humanos veem apenas um ícone do PDF.
Isso ressalta uma fraqueza mais ampla na filtragem assistida por AA: os modelos que não são atualizados nos artefatos de ameaças específicos do Linux são cegos para perturbações sutis e no nível da sintaxe.
Os defensores devem endurecer os hosts de chefe com o NoExec montar o /TMP, bloquear o acesso de saída a domínios recém -registrados e implantar um EDR que inspeciona arquivos .DESKTOP para diretivas de shell compostas.
Os sistemas de email devem detonar os atalhos do Linux em VMs com caixa de areia, porque o polimorfismo sem assinatura, sem assinatura, é agora uma técnica de desvio comprovada.
Finalmente, as equipes de segurança que executam pilhas de detecção de aprendizado de máquina devem expandir os conjuntos de treinamento para incluir artefatos de interface do usuário do Linux e testar a robustez adversária contra padrões de concatenação de comando.
Cyfirma avalia que o APT36 continuará enriquecendo seu backdoor até que os modelos baseados no host aprendam a identificar essas mudanças mínimas; Até então, o grupo mantém uma posição furtiva e de dupla plataforma dentro da infraestrutura do governo indiano crítico.
Indicadores de compromisso
| S.No | Indicador | Tipo / ação |
|---|---|---|
| 1 | 508A2BCAA4C511F7DB2D4491BB76EFFAA7231D66110C28632B95C77BE40AEA6B1 | SHA-256 / BLOCO |
| 2 | 8F8DA8861C368E74B9B5C1C59E64EF00690C5EFF4A95E1B4FCF386973895BEF1 | SHA-256 / BLOCO |
| 3 | E689Afee5F7BDBD1613BD9A3915EF2A185A05C72AAAE4DF3DEE988FA7109CB0B | SHA-256 / BLOCO |
| 4 | SecureStore[.]cv | Domínio / bloco |
| 5 | modgovindia[.]espaço | Domínio / bloco |
| 6 | 45[.]141[.]58[.]199 | IP / Monitor |
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!