News
ESET dévoile WolfsBane, une nouvelle porte dérobée Linux du groupe APT Gelsemium
novembre 2024 par ESET
Les analystes en cyber threat intelligence d’ESET ont identifié WolfsBane, une nouvelle porte dérobée Linux, attribuée avec haute probabilité au groupe APT Gelsemium, aligné sur les intérêts chinois. Cette infrastructure malveillante vise principalement le cyberespionnage, avec pour objectif l’exfiltration de données sensibles comme les configurations système, les identifiants utilisateurs et des fichiers stratégiques. Ces mécanismes sont conçus pour maintenir un accès furtif et persistant, maximisant la collecte de renseignements tout en minimisant les risques de détection. Les échantillons ont été initialement repérés sur VirusTotal, avec des origines géographiques incluant Taïwan, les Philippines et Singapour.
ESET a également documenté FireWood, une seconde porte dérobée Linux dont la connexion avec Gelsemium reste hypothétique. Les chercheurs maintiennent une attribution de faible niveau de confiance, considérant la possibilité que cet outil puisse être partagé entre différents groupes APT alignés avec les intérêts chinois.
Viktor Šperka, chercheur chez ESET, explique : « Ces échantillons représentent des équivalents Linux de malwares Windows précédemment identifiés : WolfsBane est l’équivalent de Gelsevirine, tandis que FireWood s’apparente à Project Wood. Cet intérêt pour les systèmes Linux traduit une évolution stratégique des tactiques d’intrusion, consécutive aux durcissements de sécurité sur environnements Windows, notamment via les solutions EDR et les nouvelles politiques de Microsoft concernant les macros VBA. »
WolfsBane s’articule autour d’une chaîne de chargement minimale comprenant un dropper, un lanceur et une porte dérobée, intégrant un rootkit « userland » open-source modifié. FireWood partage des similitudes avec Project Wood, une infrastructure suivie par ESET depuis 2005 et ayant évolué lors de précédentes campagnes, comme l’opération TooHash. Les archives analysées révèlent également plusieurs outils complémentaires, principalement des webshells permettant une prise de contrôle à distance sur serveurs compromis.
En résumé
• Les chercheurs d’ESET ont identifié une nouvelle porte dérobée Linux, nommée WolfsBane, attribuée avec haute confiance au groupe APT Gelsemium, aligné sur les intérêts chinois.
• Les outils découverts visent le cyberespionnage par l’exfiltration de données sensibles, incluant des configurations système, des identifiants utilisateurs et des fichiers stratégiques.
• Les échantillons malveillants ont été initialement détectés sur des infrastructures situées à Taïwan, aux Philippines et à Singapour.
• WolfsBane constitue la version Linux de Gelsevirine, tandis que FireWood partage des connexions techniques avec le projet Wood, précédemment utilisé par Gelsemium dans ses campagnes d’intrusion.
