- Les chercheurs d'ESET ont identifié une nouvelle porte dérobée Linux, nommée WolfsBane, attribuée avec haute confiance au groupe APT Gelsemium, aligné sur les intérêts chinois.
- Les outils découverts visent le cyberespionnage par l'exfiltration de données sensibles, incluant des configurations système, des identifiants utilisateurs et des fichiers stratégiques.
- Les échantillons malveillants ont été initialement détectés sur des infrastructures situées à Taïwan, aux Philippines et à Singapour.
- WolfsBane constitue la version Linux de Gelsevirine, tandis que FireWood partage des connexions techniques avec le projet Wood, précédemment utilisé par Gelsemium dans ses campagnes d'intrusion.
Les analystes en cyber threat intelligence d'ESET ont identifié WolfsBane, une nouvelle porte dérobée Linux, attribuée avec haute probabilité au groupe APT Gelsemium, aligné sur les intérêts chinois. Cette infrastructure malveillante vise principalement le cyberespionnage, avec pour objectif l'exfiltration de données sensibles comme les configurations système, les identifiants utilisateurs et des fichiers stratégiques. Ces mécanismes sont conçus pour maintenir un accès furtif et persistant, maximisant la collecte de renseignements tout en minimisant les risques de détection. Les échantillons ont été initialement repérés sur VirusTotal, avec des origines géographiques incluant Taïwan, les Philippines et Singapour.
ESET a également documenté FireWood, une seconde porte dérobée Linux dont la connexion avec Gelsemium reste hypothétique. Les chercheurs maintiennent une attribution de faible niveau de confiance, considérant la possibilité que cet outil puisse être partagé entre différents groupes APT alignés avec les intérêts chinois.
Viktor Šperka, chercheur chez ESET, explique : « Ces échantillons représentent des équivalents Linux de malwares Windows précédemment identifiés : WolfsBane est l’équivalent de Gelsevirine, tandis que FireWood s'apparente à Project Wood. Cet intérêt pour les systèmes Linux traduit une évolution stratégique des tactiques d'intrusion, consécutive aux durcissements de sécurité sur environnements Windows, notamment via les solutions EDR et les nouvelles politiques de Microsoft concernant les macros VBA. »
WolfsBane s'articule autour d'une chaîne de chargement minimale comprenant un dropper, un lanceur et une porte dérobée, intégrant un rootkit « userland » open-source modifié. FireWood partage des similitudes avec Project Wood, une infrastructure suivie par ESET depuis 2005 et ayant évolué lors de précédentes campagnes, comme l'opération TooHash. Les archives analysées révèlent également plusieurs outils complémentaires, principalement des webshells permettant une prise de contrôle à distance sur serveurs compromis.
Retrouvez une analyse détaillée et détails technique dans notre article de blog « Unveiling WolfsBane : Gelsemium's Linux counterpart to Gelsevirine » sur WeLiveSecurity.com.
Contact Presse :
Jolya COHOUNDO : presse@eset-nod32.fr
À propos d'ESET
ESET, entreprise européenne de cybersécurité reconnue mondialement, se positionne comme un acteur majeur dans la protection numérique grâce à une approche technologique innovante et complète. Fondée en Europe et disposant de bureaux internationaux, ESET combine la puissance de l'intelligence artificielle et l'expertise humaine pour développer des solutions de sécurité avancées, capables de prévenir et contrer efficacement les cybermenaces émergentes, connues et inconnues. Ses technologies, entièrement conçues dans l'UE, couvrent la protection des terminaux, du cloud et des systèmes mobiles, et se distinguent par leur robustesse, leur efficacité et leur facilité d'utilisation, offrant ainsi une défense en temps réel 24/7 aux entreprises, infrastructures critiques et utilisateurs individuels. Grâce à ses centres de recherche et développement et son réseau mondial de partenaires, ESET propose des solutions de cybersécurité intégrant un chiffrement ultra-sécurisé, une authentification multifactorielle et des renseignements approfondis sur les menaces, s'adaptant constamment à l'évolution rapide du paysage numérique.
Pour plus d’informations, consultez www.eset.com/fr
et suivez-nous sur LinkedIn, Facebook et Instagram.