هدف قرار گرفتن نهادهای هندی توسط هکرهای پاکستانی

به گزارش کارگروه حملات سایبری سایبربان؛ کارشناسان ادعا کردند که یک گروه هکری مرتبط با پاکستان به نام «Transparent Tribe» یا «APT36»، موج جدیدی از نفوذها را علیه طیف وسیعی از نهادهای هندی، وزارتخانه‌ها، پیمانکاران دفاعی، زیرساخت‌های حیاتی و مأموریت‌های دیپلماتیک خارج از کشور، آغاز کرده است.

این کمپین که توسط چندین شرکت امنیت سایبری از جمله «CYFIRMA»، «CloudSEK» و «Hunt.io» کشف شده است، در طول ماه‌های ژوئیه و اوت ۲۰۲۵ فعال بوده و به عنوان یکی از گسترده‌ترین عملیات‌های منتسب به این گروه در سال‌های اخیر توصیف می‌شود.

محققان معتقدند که قربانیان این بار فقط به دفاع محدود نشده‌اند، بلکه وزارتخانه‌ها و ادارات دولت مرکزی را که مقامات آنها به پلتفرم لینوکس راه‌حل‌های سیستم عامل بهارات (BOSS) متکی هستند، وزارت دفاع و پیمانکاران مرتبط با هوافضا و موشک، وزارت امور خارجه، پست‌های دیپلماتیک هند خارج از کشور و بخش‌های کلیدی مانند راه‌آهن و اپراتورهای نفت و گاز نیز به طور خاص هدف قرار داده‌اند.

کارمندان دولتی که به «Kavach»، سیستم احراز هویت دو عاملی اجباری که از حساب‌ها و ایمیل‌های رسمی محافظت می‌کند، وابسته هستند نیز به طور خاص هدف قرار گرفته‌اند. این حملات با ایمیل‌های فیشینگ با دقت طراحی‌شده‌ای آغاز شدند که به نظر می‌رسید دعوت‌نامه‌های جلسات داخلی یا ارتباطات از دفاتر ارشد باشند. پیوست‌ها شبیه اسناد پی‌دی‌اف بی‌خطر بودند، اما در واقع آلوده به بدافزار بودند.

پس از باز شدن، فایل‌ها بی‌سروصدا نرم‌افزارهای مخرب را نصب می‌کردند و همزمان یک سند جعلی با ظاهری واقعی را به گیرنده نمایش می‌دادند و اطمینان حاصل می‌کردند که سوءظنی ایجاد نمی‌شود. این تکنیک جدید نیست، اما چیزی که این کمپین را متفاوت می‌کند، سازگاری آن با ویندوز و لینوکس راه‌حل‌های سیستم عامل بهارات است که نشان دهنده عزم مهاجمان برای نفوذ به سیستم‌های هندی صرف نظر از محیط عملیاتی است.

پس از نصب در دستگاه، این بدافزار به مهاجمان امکان سرقت فایل‌ها، جمع‌آوری اطلاعات ورود به سیستم، نظارت بر فعالیت کاربر و حفظ پایداری حتی پس از راه‌اندازی مجدد را می‌داد.

محققان این عملیات را به در پشتی «Poseidon» مرتبط دانسته‌اند، ابزاری که قبلاً توسط Transparent Tribe برای دسترسی طولانی‌مدت به داخل شبکه‌های دولتی و دفاعی استفاده می‌شد.

Poseidon برای انجام شناسایی سیستم، استخراج داده‌های حساس و در برخی موارد تسهیل حرکت به سایر قسمت‌های شبکه طراحی شده است. تحلیلگران همچنین دریافتند که این بدافزار حاوی ویژگی‌های ضد شناسایی است که برای خنثی کردن تحقیقات تیم‌های امنیتی در نظر گرفته شده است.

به موازات این نفوذهای مبتنی بر بدافزار، Transparent Tribe تمرکز دیرینه خود را بر Kavach، سیستم احراز هویت دو عاملی هند، ادامه داد.

مقامات به صفحات ورود جعلی سوق داده شدند که برای تقلید از پورتال Kavach طراحی شده بودند. قربانیان با وارد کردن شناسه‌های ایمیل، رمزهای عبور و کدهای امنیتی یکبار مصرف خود، ناآگاهانه دسترسی کامل به حساب‌های امن را به مهاجمان دادند. این روش که اولین بار در سال 2022 مشاهده شد، بارها مورد استفاده قرار گرفته و همچنان بخش فعالی از برنامه این گروه در سال 2025 است.

بنابر ادعای کارشناسان، این گروه هکری نزدیک به یک دهه است که با کمپین‌هایی علیه ارتش و نهادهای دولتی هند مرتبط بوده، اما این عملیات نشان دهنده یک شبکه گسترده است؛ این گروه ظاهراً با نفوذ در وزارتخانه‌ها، برنامه‌های دفاعی و هوافضا، امور خارجه، حمل و نقل و شبکه‌های انرژی، نه تنها در حال جمع‌آوری اطلاعات است، بلکه خود را در سرویس‌های حیاتی که زیربنای امنیت ملی هستند، قرار می‌دهد.

گروه Transparent Tribe، که با نام‌های «APT36»، «Mythic Leopard»، «Earth Karkaddan» و «ProjectM» نیز شناخته می‌شود، یک گروه جاسوسی سایبری قدیمی و همسو با پاکستان است که از حدود سال ۲۰۱۳ فعال بوده و همواره در راستای منافع استراتژیک اسلام‌آباد فعالیت می‌کند. کمپین‌های شاخص این گروه بر هند، به‌ویژه وزارتخانه‌های دولتی، نیروهای مسلح، مأموریت‌های دیپلماتیک، دانشگاه‌های مرتبط با دفاع و اندیشکده‌ها، متمرکز است و گهگاه به افغانستان نیز سرایت می‌کند. این گروه به دلیل نصب خانواده‌های بدافزار روی سیستم‌های مبتنی بر ویندوز و اندروید با هدف جمع‌آوری اطلاعات علیه اهداف سیاسی، دفاعی و دیپلماتیک هند شناخته می‌شود و همین امر آنها را به یکی از پایدارترین تهدیدات پیشرفته و مداوم مستقر در پاکستان در جنوب آسیا تبدیل کرده است.