APT36黑客利用Linux .desktop文件在攻击中安装恶意软件

APT36网络间谍组织正利用Linux系统的.desktop文件加载恶意软件，对印度政府及国防实体发动新一轮攻击。

该活动已被CYFIRMA与CloudSEK两家机构在报告中记录在案，其目的是实现数据窃取与持续性的间谍访问。此前，APT36就曾在南亚的定向间谍行动中借助.desktop文件加载恶意软件。

这些攻击最早于2025年8月1日被发现，根据最新证据显示，攻击目前仍在持续。

.desktop文件的滥用情况

尽管两份报告所描述的攻击所使用的基础设施与样本（基于哈希值）各不相同，但所采用的技术、战术和流程（TTPs）、攻击链以及明显的攻击目标却是一致的。

受害者会通过钓鱼邮件收到ZIP压缩包，其中包含一个伪装成PDF文档的恶意.desktop文件，且文件名也与PDF文档相应匹配。

Linux系统的.desktop文件是基于文本的应用程序启动器，其中包含配置选项，用于规定桌面环境应如何显示和运行应用程序。

用户会误将.desktop文件当作PDF打开，这会触发隐藏在“Exec=”字段中的bash命令——该命令会在“/tmp/”目录下创建一个临时文件名，并将从攻击者服务器或谷歌云端硬盘获取的十六进制编码载荷写入其中。

之后，它会执行“chmod +x”命令使其具备可执行权限，再在后台启动该文件。

为降低受害者的怀疑，该脚本还会启动Firefox浏览器，显示一个托管在谷歌云端硬盘上的良性诱饵PDF文件。

攻击中使用的诱饵PDF样本

除了通过操控“Exec=”字段来运行一系列shell命令外，攻击者还添加了“Terminal=false”等字段（用于向用户隐藏终端窗口）以及“X-GNOME-Autostart-enabled=true”字段（用于在每次登录时运行该文件）。

恶意桌面文件

通常情况下，Linux系统中的.desktop文件是纯文本快捷方式文件，用于定义图标、名称以及用户点击时要执行的命令。但在APT36的攻击中，攻击者滥用了这种启动机制，本质上将其转变为恶意软件投放器和持久化建立系统，这与Windows系统中“LNK”快捷方式被滥用的方式类似。

由于Linux系统的.desktop文件通常是文本文件而非二进制文件，且对其滥用的情况并未得到广泛记录，因此该平台上的安全工具不太可能将其视为潜在威胁进行监控。

在此次攻击中，畸形.desktop文件所投放的载荷是一款基于Go语言的ELF可执行文件，具备间谍功能。尽管加壳和混淆技术给分析工作带来了难度，但研究人员发现，该文件可被设置为隐藏状态，或者尝试通过cron任务和systemd服务建立自身的独立持久化机制。

它通过双向WebSocket通道与命令控制（C2）服务器进行通信，从而实现数据窃取和远程命令执行。

攻击概述

网络安全研究员认为，此次最新攻击行动表明APT36的战术正在不断演变，变得更具规避性和复杂性。