El grupo de ciberespionaje paquistaní conocido como APT36 está de nuevo en acción, y esta vez apunta a sistemas Linux usando archivos .desktop como vehículo para desplegar malware. Según nuevos reportes de CYFIRMA y CloudSEK, estos ataques están dirigidos principalmente a organismos gubernamentales y del sector defensa en la India.
El objetivo es claro: robar información sensible y mantener un acceso persistente para labores de espionaje. No es la primera vez que APT36 recurre a esta técnica; ya habían utilizado archivos .desktop en campañas anteriores en el sur de Asia con fines similares.
La actividad maliciosa fue detectada por primera vez el 1 de agosto de 2025, y todo indica que los ataques siguen activos hasta la fecha.
Aunque los informes de CYFIRMA y CloudSEK describen variantes diferentes del ataque (con distintas infraestructuras y muestras de malware), ambos coinciden en lo esencial: las técnicas, tácticas y objetivos de APT36 son prácticamente idénticos.
Todo comienza con un clásico de la ingeniería social: un correo de phishing que llega a la víctima con un archivo ZIP adjunto. Dentro del archivo comprimido hay un supuesto documento PDF, pero en realidad se trata de un archivo .desktop malicioso que ha sido cuidadosamente camuflado con nombre e ícono engañosos.
En Linux, los archivos .desktop son lanzadores de aplicaciones: pequeños archivos de texto que indican al entorno de escritorio cómo ejecutar una aplicación y cómo debe verse el acceso directo. APT36 ha aprovechado esa funcionalidad para colar su código malicioso de forma bastante ingeniosa.
Creyendo que es un PDF inofensivo, la víctima hace doble clic. Pero lo que realmente ocurre es que se ejecuta un comando Bash oculto en el campo Exec= del archivo .desktop.
Ese comando:
Crea un archivo temporal en la carpeta /tmp/.
Descarga una carga útil codificada en hexadecimal, ya sea desde un servidor controlado por los atacantes o directamente desde Google Drive.
Escribe la carga útil en el archivo temporal.
Le da permisos de ejecución con chmod +x.
Y finalmente lo ejecuta en segundo plano, comprometiendo el sistema.
APT36 no se queda ahí. Para que la víctima no note que algo extraño ocurrió, el script también lanza Firefox y abre un PDF señuelo alojado en Google Drive. Así, la persona piensa que simplemente abrió el archivo que esperaba ver, sin darse cuenta de que su sistema ya está infectado.
Muestra de un PDF señuelo utilizado en los ataques (Fuente: CloudSEK)
Conoce más sobre: Detecta PDFs Maliciosos y Evita que Pongan en Riesgo tu Seguridad
Además de usar el campo Exec= para ejecutar comandos en segundo plano, los atacantes se pusieron creativos y añadieron algunos trucos más al archivo .desktop. Por ejemplo, incluyeron la línea Terminal=false para que no se abra ninguna ventana de terminal visible, lo que ayuda a que la víctima no sospeche que algo raro está pasando.
También agregaron X-GNOME-Autostart-enabled=true, lo que hace que el archivo se ejecute automáticamente cada vez que el usuario inicia sesión. En otras palabras, el malware se asegura de seguir activo incluso después de reiniciar el sistema, manteniendo el acceso sin levantar alarmas.
Archivo de escritorio malicioso (Fuente: CloudSEK)
En entornos Linux, los archivos .desktop son simples accesos directos en formato de texto. Su función principal es definir cosas como el nombre de una aplicación, su ícono y el comando que se ejecuta cuando el usuario hace clic. Son una parte común del entorno de escritorio, y en general, no levantan sospechas.
Pero APT36 ha encontrado la forma de convertir esta funcionalidad básica en una potente herramienta de ataque. En lugar de usar los .desktop como accesos directos legítimos, los atacantes los transforman en droppers (cargadores de malware) y mecanismos de persistencia, de forma muy parecida a cómo se explotan los accesos directos .LNK en Windows.
Y aquí está lo más preocupante: como estos archivos son texto plano y no ejecutables binarios, y además su abuso no está ampliamente documentado, muchas soluciones de seguridad en Linux no los detectan como amenazas. Es el disfraz perfecto.
El archivo .desktop malicioso termina soltando un ejecutable ELF (formato típico en Linux) escrito en Go, diseñado específicamente para actividades de espionaje. Aunque el código está ofuscado y empaquetado para dificultar su análisis, los investigadores lograron descubrir varias capacidades interesantes:
Puede configurarse para operar en modo oculto.
Intenta mantener persistencia por su cuenta, usando métodos como cron jobs o servicios systemd, que son comunes en la administración de tareas programadas y servicios del sistema en Linux.
Se comunica con su servidor de comando y control (C2) a través de un canal WebSocket bidireccional, lo que permite no solo exfiltrar datos confidenciales, sino también recibir y ejecutar comandos en tiempo real desde el atacante.
Descripción general del ataque (Fuente: CloudSEK)
Podría interesarte leer: Cómo Defenderse de las Técnicas de Persistencia de Malware con Wazuh
Según los expertos de CYFIRMA y CloudSEK, esta campaña marca un salto importante en la sofisticación de APT36. El grupo está utilizando tácticas más evasivas, técnicas mejor pulidas y formas más creativas de aprovechar características legítimas del sistema para sus fines maliciosos.
En resumen, ya no se trata solo de engañar al usuario con un archivo trampa, sino de establecer una presencia silenciosa, persistente y difícil de detectar en el sistema, lo cual representa una amenaza real incluso para quienes usan Linux, tradicionalmente considerado más seguro.