APT36 memanfaatkan file .desktop Linux yang disamarkan sebagai PDF untuk menyebarkan malware.
File .desktop berisi perintah bash tersembunyi di bidang Exec= untuk mengunduh payload yang di-hex dari server penyerang atau Google Drive.
Serangan dimulai lewat email phishing berisi arsip ZIP dengan file .desktop palsu yang dinamai seolah-olah dokumen PDF.
Setelah payload diunduh ke /tmp/, skrip menggunakan chmod +x untuk membuatnya eksekusi dan menjalankannya di latar belakang.
Skrip juga membuka Firefox menampilkan PDF umpan untuk mengalihkan perhatian korban.
Pengaturan seperti Terminal=false dan X-GNOME-Autostart-enabled=true ditambahkan agar file .desktop berjalan tersembunyi dan otomatis setiap login.
Payload utama berupa executable ELF berbasis Go yang melakukan eksfiltrasi data, menetapkan persistence lewat cron atau systemd, dan membuka kanal WebSocket dua arah untuk C2.
Kampanye ini menunjukkan evolusi taktik APT36 yang semakin canggih dan sulit terdeteksi oleh alat keamanan Linux.
Get notified when new stories are published for "Berita Peretas 🇮🇩 Bahasa Indonesia"