Recentemente, i ricercatori di sicurezza informatica hanno individuato un nuovo malware basato su PHP noto come Glutton, utilizzato in attacchi informatici mirati contro Cina, Stati Uniti, Cambogia, Pakistan e Sud Africa. La minaccia è stata scoperta da QiAnXin XLab, che attribuisce il malware al noto gruppo cinese di cyber-spionaggio Winnti, noto anche come APT41, sebbene con moderata sicurezza.

Glutton è progettato per raccogliere informazioni sensibili dai sistemi, installare un componente backdoor ELF e eseguire iniezioni di codice contro popolari framework PHP come Baota, ThinkPHP, Yii e Laravel. L'infrastruttura è simile a un noto strumento Winnti chiamato PWNLNX. Tuttavia, a differenza delle operazioni tipiche di Winnti, Glutton manca delle tecniche di furtività e utilizza comunicazioni C2 non crittografate, affidandosi a HTTP anziché HTTPS per il download dei payload.

Il malware si presenta come un framework modulare, capace di infettare file PHP su dispositivi target e installare backdoor. Si ritiene che l'accesso iniziale venga ottenuto tramite l'exploit di vulnerabilità zero-day e N-day, oltre ad attacchi di forza bruta. Un approccio non convenzionale prevede l'annuncio su forum di cybercrime di host aziendali compromessi, contenenti backdoor iniettate nei file PHP, permettendo agli operatori di attaccare altri cybercriminali.

**Moduli Principali**

Il modulo principale "task_loader" valuta l'ambiente di esecuzione e scarica ulteriori componenti, inclusi "init_task", responsabile del download di una backdoor ELF camuffata da FastCGI Process Manager. Questa backdoor infetta i file PHP con codice malevolo per l'esecuzione di payload ulteriori e modifica i file di sistema per raccogliere informazioni sensibili.

Un altro modulo, "client_loader", è una versione rifattorizzata di "init_task" e utilizza un'infrastruttura di rete aggiornata per scaricare ed eseguire un client backdoor. Modifica file di sistema come "/etc/init.d/network" per stabilire persistenza.

**Caratteristiche del Backdoor PHP**

Il backdoor PHP supporta 22 comandi unici che consentono di cambiare le connessioni C2 tra TCP e UDP, lanciare una shell, scaricare/caricare file, eseguire operazioni su file e directory e eseguire codice PHP arbitrario. Inoltre, il framework consente di ottenere ed eseguire altri payload PHP interrogando periodicamente il server C2.

Un altro aspetto rilevante è l'uso dello strumento HackBrowserData su sistemi utilizzati da operatori di cybercrime per rubare informazioni sensibili, probabilmente per future campagne di phishing o ingegneria sociale.

Glutton mostra una strategia mirata a sfruttare le risorse degli operatori di cybercrime, creando una catena di attacchi ricorsiva che sfrutta le attività degli attaccanti stessi. La divulgazione segue il recente rilevamento di una variante aggiornata del malware APT41 chiamata Mélofée, che offre meccanismi di persistenza migliorati e un driver del kernel crittografato per mascherare tracce di file, processi e connessioni di rete.