文章总结： 巴基斯坦APT36组织(透明部落)近期改变攻击策略，使用Python编写ELF格式恶意程序攻击印度政府Linux系统。攻击者通过仿冒网站获取员工凭证和多因素认证验证码，绕过Kavach安全系统，并利用内存执行技术避免被检测。文章详细分析了攻击手法并提供了防护建议，包括警惕钓鱼网站、不运行未知ELF文件、监控系统进程和更新系统补丁等措施。 综合评分： 87 文章分类： 威胁情报,漏洞分析,应急响应,APT攻击,网络安全

巴基斯坦APT36（透明部落）玩起 “跨平台偷袭”！Python 写 ELF 病毒偷印度政府机密，Linux 系统也躺枪

原创

紫队

AI紫队安全研究

2025年12月15日 11:59 广东

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【…】,然后点击【设为星标】即可。

    家人们，黑客圈现在都卷到 “编程语言内卷” 了！以前只盯着 Windows 系统搞事情的 APT36（外号 “透明部落”），居然开始学 Python 写 Linux 病毒，专门偷袭印度政府的 Linux 设备。CYFIRMA 刚曝光的大瓜显示，这支巴基斯坦背景的 APT 组织，不仅绕过了印度政府的 Kavach 多因素认证，还把 Python 打包成 ELF 恶意程序，连国防部门的 Linux 工作站都没逃过一劫，堪称 “黑客界的跨平台卷王”！

一、黑客界 “技术转型”：从 Windows 专攻打 “全平台通杀”

你以为 APT36 还是那个只会用 Crimson RAT 偷 Windows 电脑的 “老古董”？格局小了！这几年人家悄悄搞起了 “技术升级”，直接把攻击范围扩展到 Linux 系统，还整出了专属 “跨平台武器”：

编程语言换 Python：放弃传统的 C++ 写病毒，改用 Python 开发恶意程序 —— 毕竟 Python 跨平台能力强，写个 ELF 文件能直接在 Linux 上跑，写个 exe 又能搞 Windows，一套代码通吃俩系统，堪称 “黑客界的省钱小能手”；

病毒格式玩新花样：把 Python 代码打包成 ELF 可执行文件，伪装成 “系统补丁”“运维脚本”，还加了内存执行技术（ElfMemExec），运行时不落地文件，杀毒软件扫硬盘都找不到痕迹；

攻击目标精准切换：以前专盯印度政府的 Windows 电脑，现在把国防、外交部门的 Linux 工作站也列入 “购物车”，尤其是那些用自研 MayaOS 的设备（印度国防专属系统），成了重点偷袭对象。

这波操作翻译过来就是：APT36 从 “Windows 单干户” 变成了 “全平台包工头”，用 Python 当 “万能工具”，连 Linux 这个 “安全高地” 都给凿出了洞。

二、骗局拆解：从 “点错网址” 到 “Linux 被窃密”，3 步破防印度政府

APT36 这波攻击堪称 “双系统通杀剧本”，先骗账号密码，再装 Linux 后门，整个流程比印度咖喱饭还 “层层入味”：

1. 第一步：仿冒官网骗 MFA 验证码，先破 “安全第一道锁”

印度政府为了防黑客，给公务员邮箱都装了 Kavach 多因素认证（MFA），本以为能高枕无忧，结果被 APT36 轻松绕开：

网址仿得像：注册个 “virtualeoffice.cloud” 域名，故意把官方 “virtualoffice.gov.in” 的 “o” 改成 “e”，还复刻了政府登录页的国徽、配色，连底部的安全通报邮箱（[email protected]）都照搬，一眼看去就是 “官方正品”；

套路玩得深：公务员点进链接后，先让输邮箱密码，再提示 “请输入 Kavach 6 位验证码完成登录”—— 受害者以为是正常验证，殊不知输入的瞬间，验证码就被 JavaScript 实时传到黑客服务器；

伪装做得足：输完信息立刻跳转到真的政府官网，制造 “登录成功” 假象，公务员根本没察觉自己的账号密码 + MFA 验证码已经被 “打包偷走”。

有印度外交部的工作人员吐槽：“那页面跟真的一模一样，国徽都在，谁能想到是钓鱼网站！”

2. 第二步：Python ELF 病毒潜入 Linux，当 “隐形运维”

拿到账号密码后，APT36 就开始给 Linux 设备 “投毒”，手法还特别贴合政府运维习惯：

诱饵包装巧：把 ELF 恶意程序伪装成 “MayaOS 系统更新脚本”“服务器巡检工具”，通过钓鱼邮件发给运维人员，文件名取成 “mayaos_patch_v2.elf”，看起来比正版还正版；

运行方式贼：用 ElfMemExec 技术，程序运行时只在内存里加载，不生成任何文件，就算运维用杀毒软件全盘扫描，也查不到半点痕迹；

隐藏技能多：这 Python 后门自带 “窃密三件套”—— 能偷系统文件、截屏幕截图、远程执行命令，还能把偷到的国防机密打包，通过加密通道传给黑客的 C2 服务器（IP 37.221.64.202，还关联了巴基斯坦本土 IT 服务商）。

等于黑客在 Linux 系统里安了个 “隐形运维”，天天盯着政府机密，还没人能发现。

3. 第三步：跨平台联动，偷完 Windows 偷 Linux

最绝的是 APT36 的 “联动攻击”：

先用偷来的账号密码登录 Windows 端的政府邮箱，下载涉密文档；

再通过内网把 Python 病毒传到 Linux 工作站，窃取国防项目数据；

最后把所有机密打包，用 Telegram、Google Drive 这些公共平台往外传，连安全部门都难追踪。

从 Windows 到 Linux，从邮箱到工作站，一套组合拳下来，印度政府的机密信息被偷了个底朝天。

三、黑客 “黑历史”：APT36 的 “南亚窃密编年史”，专盯印度不放

APT36（又名 Transparent Tribe）可不是第一次搞事情，从 2016 年出道至今，就没放过印度，还一路升级攻击技能：

2016-2020 年：新手期，靠钓鱼邮件发 Crimson RAT 后门，专偷印度铁路、卫生部门数据，还搞过新冠疫情主题钓鱼；

2023 年：技术升级，开始用 ISO 镜像当攻击载体，还开发了 Golang 版 “全能间谍工具”，能截图、偷文件、执行命令；

2025 年：玩跨界，一边绕 MFA 偷账号，一边写 Python ELF 病毒搞 Linux，连印度自研的 MayaOS 都没放过，精准度堪比 “南亚制导导弹”。

更搞笑的是，APT36 早年还犯过 “低级错误”—— 把服务器时区设成 “亚洲 / 卡拉奇”（巴基斯坦时区），直接暴露了自己的地缘背景，堪称 “黑客界的漏勺”。

四、防骗指南：Windows/Linux 双系统通用，3 招防 APT36 偷袭

不管是 Windows 打工人还是 Linux 运维，记住这 3 招，就能让 APT36 的 “跨平台偷袭” 扑空：

1. 防钓鱼：别被 “高仿网址” 骗了

网址多看一眼：政府官网后缀一般是.gov.in，遇到.cloud/.site 结尾的 “官方页面”，直接关掉；输入网址时仔细核对拼写，别把 “virtualoffice” 看成 “virtualeoffice”；

MFA 别乱输：凡是网页弹窗要 MFA 验证码的，一律拒绝！正规 MFA 只会在官方 APP 或硬件设备上验证，不会在网页表单里要；

电话核实优先：收到 “系统更新”“安全验证” 邮件，先打单位 IT 部门电话确认，别直接点链接。

2. 防 Linux 病毒：给运维加 “安全滤镜”

不运行陌生 ELF 文件：就算文件名是 “系统补丁”，来源不明的.elf 程序也别双击，先用 md5sum 校验哈希值，去病毒库查一查；

监控内存进程：Linux 装个进程监控工具，发现 pythonw.exe（无窗口 Python 进程）偷偷跑，立刻终止并查杀，这大概率是 APT36 的后门；

关不必要权限：给运维账号最小权限，禁止普通用户执行 ELF 文件，就算中毒也没法搞大破坏。

3. 双系统防护：给电脑装 “金钟罩”

系统补丁更到最新：不管 Windows 还是 Linux，别偷懒不更补丁，APT36 就爱抓漏洞下手；

开多维度防护：装带 “内存检测” 的安全软件，能识别 ElfMemExec 这种无文件攻击；开启 DNS 过滤，阻断已知恶意域名（比如 virtualeoffice.cloud）；

定期安全培训：尤其是政府、国防单位，给员工讲清楚 APT36 的套路，别让一个 “手抖点错网址” 搞垮整个系统。

结语：别让 “跨平台便利” 变成 “跨平台漏洞”

APT36 这波操作给所有政企提了个醒：现在的黑客都开始 “全平台内卷” 了，只防 Windows 不防 Linux，等于给黑客留了 “侧门”。

说到底，不管是 Python 写的 ELF 病毒，还是仿冒的 MFA 登录页，只要多一分警惕，就能少一分风险。转发给你身边的 Linux 运维和政府打工人，一起堵住 APT36 的 “跨平台偷袭”！

加入知识星球，可获取权益

一、”全球高级持续威胁：网络世界的隐形战争”，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、为什么加入？

职场瓶颈期找不到突破方向？安全项目落地缺成熟方案？面对APT攻击、勒索病毒不知如何构建防御体系？

三、在这里，你能获得的不只是资料包，而是直接对接行业专家的「私人顾问服务」

✅ 职业发展「精准导航」

 1v1简历优化：针对安全岗（渗透测试/安全运营/合规等）拆解JD，突出核心竞争力；

 晋升避坑指南：从工程师到安全负责人，分享晋升路径，避开「技术强但管理弱」的晋升陷阱；

 技能栈规划：根据你的基础（应届生/3年经验/资深专家）定制学习路线，比如从0到1学SOC安全建设、APT威胁狩猎。

✅ 安全方案「对症开方」

 实战方案库：含医疗/制造业/等行业的勒索防御、数据安全合规、供应链安全加固方案（附落地工具清单+成本测算）；

 架构设计咨询：小到EDR选型，大到零信任体系搭建，提供「预算效果」平衡的最优解（已帮10+企业节省40%防护成本）。

✅ 圈子资源「直接对接」

 大厂安全负责人拆解真实案例（如某支付公司攻防对抗的实战复盘）；

四、适合谁？

 想突破职业天花板的安全工程师/架构师；

 需快速落地安全项目的企业负责人；

 关注行业动态的安全爱好者或IT从业人员。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

查看原文：《巴基斯坦APT36（透明部落）玩起 “跨平台偷袭”！Python 写 ELF 病毒偷印度政府机密，Linux 系统也躺枪》