ESET dévoile WolfsBane, une nouvelle porte dérobée Linux du groupe APT Gelsemium

Prochain article
  • Les chercheurs d'ESET ont identifié une nouvelle porte dérobée Linux, nommée WolfsBane, attribuée avec haute confiance au groupe APT Gelsemium, aligné sur les intérêts chinois.
  • Les outils découverts visent le cyberespionnage par l'exfiltration de données sensibles, incluant des configurations système, des identifiants utilisateurs et des fichiers stratégiques.
  • Les échantillons malveillants ont été initialement détectés sur des infrastructures situées à Taïwan, aux Philippines et à Singapour.
  • WolfsBane constitue la version Linux de Gelsevirine, tandis que FireWood partage des connexions techniques avec le projet Wood, précédemment utilisé par Gelsemium dans ses campagnes d'intrusion.

Les analystes en cyber threat intelligence d'ESET ont identifié WolfsBane, une nouvelle porte dérobée Linux, attribuée avec haute probabilité au groupe APT Gelsemium, aligné sur les intérêts chinois. Cette infrastructure malveillante vise principalement le cyberespionnage, avec pour objectif l'exfiltration de données sensibles comme les configurations système, les identifiants utilisateurs et des fichiers stratégiques. Ces mécanismes sont conçus pour maintenir un accès furtif et persistant, maximisant la collecte de renseignements tout en minimisant les risques de détection. Les échantillons ont été initialement repérés sur VirusTotal, avec des origines géographiques incluant Taïwan, les Philippines et Singapour.

ESET a également documenté FireWood, une seconde porte dérobée Linux dont la connexion avec Gelsemium reste hypothétique. Les chercheurs maintiennent une attribution de faible niveau de confiance, considérant la possibilité que cet outil puisse être partagé entre différents groupes APT alignés avec les intérêts chinois.

Viktor Šperka, chercheur chez ESET, explique : « Ces échantillons représentent des équivalents Linux de malwares Windows précédemment identifiés : WolfsBane est l’équivalent de Gelsevirine, tandis que FireWood s'apparente à Project Wood. Cet intérêt pour les systèmes Linux traduit une évolution stratégique des tactiques d'intrusion, consécutive aux durcissements de sécurité sur environnements Windows, notamment via les solutions EDR et les nouvelles politiques de Microsoft concernant les macros VBA. »

WolfsBane s'articule autour d'une chaîne de chargement minimale comprenant un dropper, un lanceur et une porte dérobée, intégrant un rootkit « userland » open-source modifié. FireWood partage des similitudes avec Project Wood, une infrastructure suivie par ESET depuis 2005 et ayant évolué lors de précédentes campagnes, comme l'opération TooHash. Les archives analysées révèlent également plusieurs outils complémentaires, principalement des webshells permettant une prise de contrôle à distance sur serveurs compromis.

Retrouvez une analyse détaillée et détails technique dans notre article de blog « Unveiling WolfsBane : Gelsemium's Linux counterpart to Gelsevirine » sur WeLiveSecurity.com.

Contact Presse :

Laura PACCAGNELLA : +33 01 55 89 08 88 -  laura.p@eset-nod32.fr
Ines KHELIFI : +33 01 55 89 29 30 -  ines.k@eset-nod32.fr

À propos d'ESET

Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique pour protéger le patrimoine numérique des entreprises, les infrastructures critiques et les consommateurs du monde entier contre des cybermenaces. Nous protégeons les terminaux fixes et mobiles, les outils collaboratifs et assurons la détection et le traitement des incidents. Établis dans le monde entier, nos centres de R&D récoltent et analysent les cybermenaces pour protéger nos clients et notre monde numérique.

Pour plus d’informations, consultez www.eset.com/na 
et suivez-nous sur LinkedIn, Facebook et Instagram.