Image by <a href="https://pixabay.com/users/tumisu-148124/?utm_source=link-attribution&utm_medium=referral&utm_campaign=image&utm_content=3390518">Tumisu</a> from <a href="https://pixabay.com//?utm_source=link-attribution&utm_medium=referral&utm_campaign=image&utm_content=3390518">Pixabay</a>

Transparent Tribe (APT36) Serang Windows & BOSS Linux: File .desktop Palsu, Backdoor Poseidon, dan Perburuan 2FA

Komplotan advanced persistAPT36 Serang Windows & BOSS Linux: .desktop Palsu, Poseidon, dan Perburuan 2FAent threat Transparent Tribe (APT36) kembali menyasar lembaga pemerintah India dengan operasi lintas platform yang menyatukan spear-phishing, dropper Linux, dan pencurian kredensial bernuansa sosial rekayasa. Target tak hanya Windows; distribusi BOSS (Bharat Operating System Solutions) Linux ikut dibidik lewat shortcut .desktop yang disamarkan sebagai dokumen rapat. Begitu diklik, shortcut memicu skrip shell yang mengambil file heksadesimal dari server kendali securestore[.]cv, menyimpannya sebagai ELF berisi payload berbasis Go, lalu membuka PDF umpan di Google Drive melalui Firefox agar korban merasa semuanya normal. Pada saat yang sama, payload melakukan koneksi ke modgovindia[.]space:4000 untuk instruksi, unduh muat balik, dan eksfiltrasi data, kemudian menanam cron agar tetap hidup pasca reboot atau kill proses.

Jalur Masuk & Evolusi Teknik

Operasi diawali email pancingan dengan tema undangan rapat. Lampiran ditata agar terlihat seperti “Meeting_Ltr_ID1543ops.pdf.desktop”—ekstensi ganda yang menyamarkan executable sebagai PDF. Penggunaan .desktop mengakali kebiasaan pengguna Linux yang cenderung percaya pada ikon/dokumen kantor, sementara PDF umpan yang memang terbuka mengurangi kecurigaan. Di balik layar, dropper mengambil biner heksadesimal, men-decode, mengeksekusi, dan menaut ke C2 untuk menerima perintah lanjutan.

Kampanye ini juga memanfaatkan pemeriksaan anti-debugging/anti-sandbox sederhana: rekayasa untuk mengelabui emulator/analisis statis sehingga artefak berbahaya luput terdeteksi dalam pemeriksaan permukaan. Tujuan akhirnya adalah ketekalan (persistence) dan akses jangka panjang di lingkungan sensitif—bukan sekadar sekali aksi.

Poseidon: Backdoor untuk Akses Panjang atau Berulang

Analisis independen menunjukkan payload mengantarkan Poseidon, backdoor milik Transparent Tribe. Fungsinya mencakup inventarisasi sistem, pengumpulan data, perampasan kredensial, hingga potensi gerak lateral. Dengan infrastruktur C2 yang dikodekan langsung di biner dan penjadwalan via cron, operator bisa mempertahankan pijakan tanpa banyak kebisingan jaringan. Sub-klaster SideCopy yang kerap bekerja bareng APT36 memperkuat ekosistem alat dan taktik, memperluas jejak dari satu akun ke segmen jaringan yang lebih luas.

Garis Depan Sosial Rekayasa/Social Engineering: Password + 2FA

Di luar malware Linux, APT36 masih memeras nilai dari kampanye phishing kredensial yang meniru domain resmi dan menargetkan solusi 2FA Kavach. Alurnya sederhana namun efektif: korban mengetik email di halaman login tiruan, lalu diarahkan ke halaman kedua yang meminta kata sandi dan kode Kavach. Dengan domain tipografi-mirip (typosquatting) dan infrastruktur server yang dilaporkan berlokasi di Pakistan, pola ini konsisten dengan TTP kelompok—mengikis pertahanan berlapis organisasi lewat kesan “portal resmi”.

Lintasan Regional: SideWinder & Laman Mirip Resmi

Selaras dengan tren kawasan, kampanye APT lain SideWinder menyasar Bangladesh, Nepal, Pakistan, Sri Lanka, dan Turki menggunakan halaman tiruan di platform hosting populer seperti Netlify dan Pages.dev. Tema yang dipakai meniru Zimbra dan portal aman untuk dokumen/unggahan, menggiring korban agar menyerahkan kredensial di panel login palsu.

Apa Artinya untuk Indonesia?

Meski sasaran utama adalah lembaga India, bahaya limpahan (spillover) ke Indonesia nyata. Pertama, file .desktop bukan isu eksklusif; banyak distro Linux (termasuk yang dipakai tim riset, kampus, dan beberapa instansi) memanfaatkan launcher serupa. Kebijakan default beberapa desktop environment yang memudahkan menjalankan shortcut berisiko disalahgunakan jika higienitas lampiran email lemah. Kedua, phishing 2FA akan relevan di sini karena banyak institusi mengandalkan OTP berbasis aplikasi/SMS—mudah disadap lewat halaman berantai yang meminta password dan kode satu kali pakai secara berurutan. Ketiga, penggunaan Netlify/Pages.dev untuk hosting laman tiruan lazim di ekosistem lokal; nama domain yang terlihat kredibel sering menipu staff non-teknis.

Dampak praktisnya bukan sekadar kebocoran satu akun. Begitu akses awal berhasil, actor bisa merambah repositori kode, surel internal, sistem tiket, bahkan VDI/VPN; efek menular ini membuat insiden sulit diputus, apalagi jika persistence berbasis cron, systemd, dan kebijakan egress longgar.

Deteksi & Mitigasi

Organisasi di Indonesia perlu memperlakukan lampiran .desktop sebagai eksekutabel berbahaya secara default. Saring di email gateway dan EDR Linux; tampilkan peringatan eksplisit saat file mencoba jalan dari direktori Downloads. Terapkan kebijakan “buka sebagai teks” untuk tipe ini sehingga konten Exec= terlihat jelas, bukan langsung dieksekusi. Di sisi keaslian pengguna, pindahkan 2FA ke yang tahan-phishing (mis. FIDO2/WebAuthn), minimal tambahkan challenge kontekstual (lokasi/perangkat) dan rate-limit percobaan kode OTP. Untuk threat hunting, pantau:

Koneksi keluar ke modgovindia[.]space:4000 dan endpoint tak wajar yang berkait domain securestore[.]cv.
Aktivitas cron yang baru, binari ELF yang tiba-tiba muncul di direktori pengguna, serta eksekusi Firefox yang memanggil PDF eksternal segera setelah dropper berjalan.
Perubahan kebijakan desktop environment yang mengizinkan trust file launcher tanpa prompt.

Langkah tambahan yang sering dilupakan: kontrol egress di sisi jaringan (allow-list), code-signing internal untuk tooling, dan tata kelola domain (pemantauan typo-squatting terhadap merek .go.id dan .ac.id).

Analisis Redaksi & Kesimpulan

Analisis. Kekuatan kampanye APT36 bukan pada eksploitasi teknis canggih semata, melainkan orkestrasi realistis yang menempel pada kebiasaan kerja harian: undangan rapat, PDF dari Drive, 2FA yang sudah dianggap “aman”, dan shortcut yang tampak wajar. Perpaduan low-noise persistence (cron), decoy visual, serta phishing dua tahap membuat insiden tahan lama dan sulit didiagnosis. Menyasar BOSS Linux menunjukkan kesadaran konteks pelaku terhadap standar lingkungan target.

Kesimpulan. Untuk ekosistem Indonesia, pelajaran utamanya jelas: jangan mengandalkan OTP saja, naikkan ke 2FA tahan-phishing, keras-kan kebijakan execution pada desktop file, dan tighten egress. Edukasi sederhana—“PDF bukan selalu PDF”—sering lebih efektif daripada membeli alat baru. Jika kebiasaan klik lampiran tak berubah, kampanye seperti ini hanya butuh branding lokal untuk memberikan kesadaran kepada pengguna awam.