文章总结： 透明部落APT组织针对印度创业生态系统发动供应链攻击，利用鱼叉式钓鱼邮件投递CrimsonRAT恶意软件。攻击者以真实创业公司为诱饵，通过膨胀至34MB的ISO文件绕过杀毒检测，实现对受感染设备的完全控制。该组织通过入侵与政府合作的私营初创企业间接获取敏感政府数据，标志着其目标从传统军政领域向供应链上游扩展。 综合评分： 78 文章分类： 威胁情报,恶意软件,供应链安全,APT分析,网络安全

透明部落黑客组织对印度创业生态系统发动网络攻击

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年2月7日 13:40 北京

臭名昭著的威胁组织“透明部落”（Transparent Tribe，又名APT36）的策略发生了令人担忧的转变。该组织过去主要针对印度政府、国防和教育部门，现在已将目标扩大到印度蓬勃发展的创业生态系统。

这项新活动利用以真实创业公司创始人为主题的精心设计的诱饵，用“Crimson RAT”恶意软件感染受害者。

Transparent Tribe 自 2013 年起活跃，与巴基斯坦境内的行动者有着广泛的联系，通常专注于针对军事和外交目标的间谍活动。

黑客们专门针对从事开源情报（OSINT）和网络安全的初创公司。

然而，TRU 最近的调查结果表明，该组织现在正在私营公司内部搜寻情报。

这些公司通常与政府机构和执法部门合作。黑客通过入侵这些初创公司，很可能是为了间接获取敏感的政府数据。

这是一种典型的“供应链”式方法：如果你不能直接攻击政府，那就攻击他们信任的私人供应商。

透明部落的诱惑

攻击始于一封包含名为“MeetBisht.iso”的 ISO 文件附件的鱼叉式网络钓鱼电子邮件。

为了使电子邮件看起来合法，黑客使用了诱饵材料，其中提到了印度一家名为“Voldebug”的真实创业公司及其创始人。

当受害者打开 ISO 文件时，会看到一个类似 Excel 快捷方式的链接（LNK 文件）。然而，点击此快捷方式并不会打开电子表格，而是会触发一系列隐藏的事件：

1. 后台运行着一个隐藏的批处理脚本。
2. 弹出一个诱饵文件来分散用户的注意力。
3. “Crimson RAT”恶意软件会在电脑上静默安装。

此次攻击活动中使用的恶意软件是一种远程访问木马（RAT）。Acronis 分析的版本有一个显著特征：它被人为地膨胀到 34MB 的庞大体积。

黑客在文件中塞入了“垃圾数据”来欺骗杀毒系统，因为许多安全扫描程序的设计目的是为了跳过大文件以节省处理时间。

一旦激活，Crimson RAT便赋予攻击者对受感染机器的完全控制权。其功能包括：

• 监控： 录制屏幕、打开网络摄像头、通过麦克风录制音频。
• 盗窃： 列出所有驱动器，搜索特定文件，并将窃取的数据上传给黑客。
• 系统控制： 终止正在运行的进程并执行新命令。

该恶意软件使用自定义通信方法（TCP 协议）与其命令和控制服务器通信，使得标准网络监控器更难发现流量。

连接点

Acronis 的研究人员高度确信Transparent Tribe是此次攻击的幕后黑手。此次攻击留下的数字痕迹，包括托管在美国的特定服务器基础设施以及对以往攻击代码的重复使用，都与该组织的过往记录相符。

恶意 LNK 文件以 Meet Bishkt.xlsx.lnk 的名称上传，也曾以 Evidance.pdf.lnk 的名称上传。

有趣的是，研究人员还发现了一个“特征”错误：黑客在文件名中反复将“Evidence”拼写成“Evidance”。这种拼写错误在之前针对印度政府的攻击活动中也出现过。

这场行动旨在警示世人，印度的初创企业已不再能逃过监管。由于它们与政府机构和执法部门联系紧密，这些行动敏捷的公司如今已成为国家支持的间谍活动的重要目标。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《透明部落黑客组织对印度创业生态系统发动网络攻击》