Il gruppo di minaccia persistente avanzata (APT) cinese noto come Gelsemium è stato recentemente identificato mentre utilizzava un nuovo backdoor per Linux, chiamato WolfsBane, come parte di attacchi informatici mirati probabilmente verso l'Asia orientale e sudorientale. Secondo le scoperte della società di sicurezza informatica ESET, diversi campioni di Linux sono stati caricati sulla piattaforma VirusTotal da Taiwan, Filippine e Singapore nel marzo 2023. WolfsBane è stato valutato come una versione Linux del backdoor Gelsevirine del gruppo, un malware per Windows utilizzato già dal 2014. Inoltre, è stato scoperto un altro impianto precedentemente non documentato, chiamato FireWood, collegato a un diverso set di strumenti malware noto come Project Wood.

FireWood

FireWood è stato attribuito a Gelsemium con bassa fiducia, considerando la possibilità che possa essere condiviso da più gruppi di hacking legati alla Cina. "L'obiettivo dei backdoor e degli strumenti scoperti è lo spionaggio informatico mirato a dati sensibili come informazioni di sistema, credenziali utente e file e directory specifici," ha dichiarato Viktor Šperka, ricercatore di ESET, in un rapporto condiviso con The Hacker News.

Questi strumenti sono progettati per mantenere l'accesso persistente ed eseguire comandi in modo invisibile, consentendo una raccolta di informazioni prolungata mentre si evita il rilevamento. Il percorso di accesso iniziale esatto utilizzato dagli attori della minaccia non è noto, sebbene si sospetti che abbiano sfruttato una vulnerabilità sconosciuta di un'applicazione web per installare web shell per l'accesso remoto persistente, utilizzandolo per consegnare il backdoor WolfsBane tramite un dropper.

Oltre a utilizzare il rootkit userland open-source BEURK modificato per nascondere le sue attività sull'host Linux, è in grado di eseguire comandi ricevuti da un server controllato dall'attaccante. Similmente, FireWood impiega un modulo rootkit driver del kernel chiamato usbdev.ko per nascondere i processi ed eseguire vari comandi emessi dal server. L'uso di WolfsBane e FireWood rappresenta il primo utilizzo documentato di malware per Linux da parte di Gelsemium, segnalando un'espansione del focus dei bersagli.

"La tendenza dello spostamento del malware verso i sistemi Linux sembra essere in aumento nell'ecosistema APT," ha affermato Šperka. "Dal nostro punto di vista, questo sviluppo può essere attribuito a diversi progressi nella sicurezza della posta elettronica e degli endpoint." L'adozione sempre crescente di soluzioni EDR, insieme alla strategia predefinita di Microsoft di disabilitare le macro VBA, stanno portando a uno scenario in cui gli avversari sono costretti a cercare altre potenziali vie di attacco.