APT36网络间谍组织正利用Linux系统的.desktop文件加载恶意软件，对印度政府及国防实体发动新一轮攻击。

该活动已被CYFIRMA与CloudSEK两家机构在报告中记录在案，其目的是实现数据窃取与持续性的间谍访问。此前，APT36就曾在南亚的定向间谍行动中借助.desktop文件加载恶意软件。

这些攻击最早于2025年8月1日被发现，根据最新证据显示，攻击目前仍在持续。

.desktop文件的滥用情况

尽管两份报告所描述的攻击所使用的基础设施与样本（基于哈希值）各不相同，但所采用的技术、战术和流程（TTPs）、攻击链以及明显的攻击目标却是一致的。

受害者会通过钓鱼邮件收到ZIP压缩包，其中包含一个伪装成PDF文档的恶意.desktop文件，且文件名也与PDF文档相应匹配。

Linux系统的.desktop文件是基于文本的应用程序启动器，其中包含配置选项，用于规定桌面环境应如何显示和运行应用程序。

用户会误将.desktop文件当作PDF打开，这会触发隐藏在“Exec=”字段中的bash命令——该命令会在“/tmp/”目录下创建一个临时文件名，并将从攻击者服务器或谷歌云端硬盘获取的十六进制编码载荷写入其中。

之后，它会执行“chmod +x”命令使其具备可执行权限，再在后台启动该文件。

为降低受害者的怀疑，该脚本还会启动Firefox浏览器，显示一个托管在谷歌云端硬盘上的良性诱饵PDF文件。

攻击中使用的诱饵PDF样本

除了通过操控“Exec=”字段来运行一系列shell命令外，攻击者还添加了“Terminal=false”等字段（用于向用户隐藏终端窗口）以及“X-GNOME-Autostart-enabled=true”字段（用于在每次登录时运行该文件）。

恶意桌面文件

通常情况下，Linux系统中的.desktop文件是纯文本快捷方式文件，用于定义图标、名称以及用户点击时要执行的命令。但在APT36的攻击中，攻击者滥用了这种启动机制，本质上将其转变为恶意软件投放器和持久化建立系统，这与Windows系统中“LNK”快捷方式被滥用的方式类似。

由于Linux系统的.desktop文件通常是文本文件而非二进制文件，且对其滥用的情况并未得到广泛记录，因此该平台上的安全工具不太可能将其视为潜在威胁进行监控。

在此次攻击中，畸形.desktop文件所投放的载荷是一款基于Go语言的ELF可执行文件，具备间谍功能。尽管加壳和混淆技术给分析工作带来了难度，但研究人员发现，该文件可被设置为隐藏状态，或者尝试通过cron任务和systemd服务建立自身的独立持久化机制。

它通过双向WebSocket通道与命令控制（C2）服务器进行通信，从而实现数据窃取和远程命令执行。

攻击概述

网络安全研究员认为，此次攻击行动表明APT36的战术正在不断演变，变得更具规避性和复杂性。

参考及来源：https://www.bleepingcomputer.com/news/security/apt36-hackers-abuse-linux-desktop-files-to-install-malware/

曾对 DeepSeek 等发起攻击：22 岁黑客被捕，运营僵尸网络

美国联邦当局于当地时间周二宣布，俄勒冈州一名男子因被指控在数年间策划多起大规模网络攻击而面临联邦指控。

22 岁的 Ethan Foltz 被指控自 2021 年以来开发了“Rapper Bot”僵尸网络，该网络由被恶意软件感染并被用于执行分布式拒绝服务（DDoS）攻击的设备组成，例如数字录像机和 WiFi 路由器 —— 这是一种通过发送大量请求使系统过载，从而减缓或关闭网站、服务器或其他设备的网络攻击类型。检察官表示，该网络是“目前存在最复杂和最强大的雇佣 DDoS 僵尸网络之一”。

检察官表示，执法官员在执行对俄勒冈州尤金市 Foltz 住所的搜查令，并获取其僵尸网络的管理控制权后，僵尸网络于 8 月 6 日停止了这些攻击。

法院文件指控 Foltz 将“Rapper Bot”借给付费客户，这些客户针对 80 多个国家和地区的受害者，包括美国政府网络、社交媒体平台和美国科技公司，但没有透露具体受害者名单。

据检察官称，“Rapper Bot”据称控制着约 65,000 到 95,000 个感染设备，并利用它们发送大量数据，每秒约 2 到 3 太比特，以使目标的带宽过载。

检察官表示，Foltz 被指控犯有一项协助和教唆计算机入侵的罪名。如果被定罪，他可能面临最高 10 年的监禁。目前尚不清楚 Foltz 是否有法律代表。

亚马逊网络服务（AWS）在追踪 Rapper Bot 的命令与控制基础设施方面提供了帮助，并协助美国执法部门获取了可操作的情报，报告称自 2025 年 4 月以来，Rapper Bot 发动了 37 万次攻击。

IT之家注意到，奇安信曾在安全报告中指出，2025 年 2 月，“Rapper Bot”对 DeepSeek 发起攻击，导致 DeepSeek 出现服务缓慢等问题。

文章来源：嘶吼专业版、IT之家