Investigadores de ESET han revelado la detección de múltiples muestras de un backdoor de Linux, al que han llamado WolfsBane, que se atribuye con alta confianza al grupo de amenaza persistente avanzada (APT) conocido como Gelsemium. Este grupo, alineado con intereses de China, cuenta con un historial de actividades maliciosas que data de 2014, y sorprendentemente, hasta ahora no había informes públicos sobre el uso de malware en Linux por parte de Gelsemium. Además de WolfsBane, los investigadores identificaron otro backdoor denominado FireWood, aunque no se ha podido establecer un vínculo definitivo entre este último y otras herramientas asociadas a Gelsemium, por lo que su relación con el grupo es considerada de baja confianza.
Entre las muestras más relevantes encontradas en archivos subidos a VirusTotal se incluyen dos backdoors que presentan similitudes con malware conocido de Windows utilizado por Gelsemium. WolfsBane es considerado el equivalente en Linux de Gelsevirine, mientras que FireWood está relacionado con una herramienta conocida como Project Wood, que fue utilizada por el grupo durante la operación TooHash. Las herramientas y backdoors detectados tienen como objetivo la ciberespionaje, apuntando a la recolección de datos sensibles, como información del sistema, credenciales de usuario y archivos específicos. Diseñadas para mantener un acceso persistente, estas herramientas permiten la ejecución de comandos de manera sigilosa, favoreciendo la recolección de inteligencia prolongada y evadiendo la detección.
La tendencia de los grupos APT hacia el malware en Linux se está volviendo más prominente. Dicha transición se atribuye a mejoras en la seguridad de Windows, especialmente con la adopción de herramientas de detección y respuesta de endpoints (EDR) y la decisión de Microsoft de deshabilitar de forma predeterminada las macros de Visual Basic for Applications (VBA). Como resultado, los actores de amenazas están buscando nuevas avenidas de ataque, con un enfoque creciente en la explotación de vulnerabilidades en sistemas accesibles a Internet, muchos de los cuales funcionan con Linux.
Los investigadores de ESET han analizado técnicamente el malware en Linux, centrándose en los dos backdoors. En 2023, se encontraron estas muestras en archivos subidos a VirusTotal desde Taiwán, Filipinas y Singapur, lo que sugiere que provienen de una respuesta a un incidente en un servidor comprometido. La secuencia de ataque del malware WolfsBane es particularmente intrigante, ya que incluye un dropper, un launcher y el backdoor en sí, similar a las versiones de Windows.
El dropper de WolfsBane, encontrado en un archivo llamado «cron», simula ser una herramienta legítima de programación de tareas. Al ejecutarse, oculta sus archivos en un directorio creado en el hogar del usuario. Dependiendo de si se ejecuta con privilegios de root o de usuario normal, sus métodos para establecer persistencia varían, utilizando diferentes técnicas para asegurarse de que se mantenga activo en el sistema tras un reinicio.
Por otro lado, FireWood se comunica con su servidor de comando y control (C&C) a través de TCP, y también emplea técnicas para establecer una presencia persistente en el sistema, creando archivos que se ejecutan al iniciar el sistema operativo.
Este descubrimiento de ESET marca un cambio significativo en la estrategia operativa de Gelsemium, que ahora incluye malware específicamente diseñado para sistemas Linux, lo que resalta la creciente amenaza que este tipo de software malicioso representa en el mundo actual de la ciberseguridad.
Fuente: WeLiveSecurity by eSet.