BRATISLAVA, le 21 novembre 2024 — Les chercheurs d’ESET ont identifié plusieurs échantillons d’une porte dérobée Linux, qu’ils ont nommée WolfsBane et qu’ils attribuent avec une grande certitude à Gelsemium, un groupe de menaces persistantes avancées (APT) lié à la Chine. Le but de ces portes et des outils découverts est le cyber-espionnage. Il cible des données sensibles : informations système, identifiants des utilisateurs ainsi que fichiers et répertoires spécifiques. Ces outils sont conçus pour maintenir un accès persistant et exécuter des commandes de manière furtive, permettant une collecte prolongée de renseignements tout en échappant à la détection. ESET a découvert les échantillons sur VirusTotal; ils ont été téléchargés depuis Taïwan, les Philippines et Singapour, probablement à partir d’une réponse à un incident sur un serveur compromis. Gelsemium avait déjà ciblé des entités en Asie de l’Est et au Moyen-Orient. Cet acteur malveillant lié à la Chine a une histoire remontant à 2014 et, jusqu’à présent, il n’y a eu aucun rapport public sur Gelsemium utilisant des logiciels malveillants Linux.

ESET Research a aussi découvert FireWood, une autre porte dérobée Linux, mais ne peut pourtant pas établir de lien définitif avec d’autres outils Gelsemium. Sa présence dans les archives analysées pourrait être une coïncidence. Dès lors, ESET attribue FireWood à Gelsemium avec peu de confiance, car il pourrait s’agir d’un outil partagé par plusieurs groupes APT alignés sur la Chine.

« Les échantillons les plus remarquables trouvés dans les archives téléchargées de VirusTotal sont deux portes dérobées ressemblant à des maliciels Windows connus, utilisés par Gelsemium. WolfsBane est l’équivalent Linux de Gelsevirine, tandis que FireWood est lié au projet Wood. Nous avons aussi découvert d’autres outils potentiellement liés aux activités de Gelsemium», explique Viktor Šperka, le chercheur d’ESET, qui a analysé la dernière boîte à outils de Gelsemium.

« Les groupes APT ont tendance à se concentrer sur les maliciels Linux, cela se remarque toujours plus. Selon nous, ce changement est dû aux améliorations sécuritaires des e-mails et des terminaux Windows, telles que l’utilisation généralisée d’outils de détection et de réponse aux terminaux et la décision de Microsoft de désactiver, par défaut, les macros Visual Basic pour Applications. Les acteurs malveillants explorent alors de nouveaux moyens d’attaque et se concentrent plus sur l’exploitation des vulnérabilités des systèmes connectés à Internet, dont la plupart fonctionnent sous Linux », explique Šperka.

WolfsBane, la première porte dérobée, fait partie d'une chaîne de chargement simple composée du dropper, du lanceur et de la porte dérobée. Une partie de la chaîne d'attaque WolfsBane est aussi un rootkit open source modifié, une sorte de logiciel qui existe dans l'espace utilisateur d'un système d'exploitation et masque ses activités. FireWood, la deuxième porte dérobée, est connectée à une porte dérobée suivie par les chercheurs d'ESET sous le nom de Project Wood. ESET l'a retracée jusqu'en 2005 et a observé son évolution vers des versions plus sophistiquées. Elle avait déjà été utilisée dans l'Operation TooHash. Les archives analysées par ESET contiennent aussi plusieurs outils supplémentaires, principalement des webshells, permettant le contrôle à distance par un attaquant une fois qu'ils sont installés sur un serveur compromis, ainsi que des outils utilitaires simples.

Pour une analyse plus détaillée et une analyse technique des derniers outils de Gelsemium, consultez le dernier blog d’ESET Research Unveiling WolfsBane: Gelsemium’s Linux counterpart to Gelsevirine” sur www.WeLiveSecurity.com . Suivez ESET Research sur Twitter (ESET Research on Twitter (today known as X) pour être informé des dernières nouvelles d’ESET Research.