- Les chercheurs d'ESET ont identifié une nouvelle porte dérobée Linux, nommée WolfsBane, attribuée avec haute confiance au groupe APT Gelsemium, aligné sur les intérêts chinois.
- Les outils découverts visent le cyberespionnage par l'exfiltration de données sensibles, incluant des configurations système, des identifiants utilisateurs et des fichiers stratégiques.
- Les échantillons malveillants ont été initialement détectés sur des infrastructures situées à Taïwan, aux Philippines et à Singapour.
- WolfsBane constitue la version Linux de Gelsevirine, tandis que FireWood partage des connexions techniques avec le projet Wood, précédemment utilisé par Gelsemium dans ses campagnes d'intrusion.
Les analystes en cyber threat intelligence d'ESET ont identifié WolfsBane, une nouvelle porte dérobée Linux, attribuée avec haute probabilité au groupe APT Gelsemium, aligné sur les intérêts chinois. Cette infrastructure malveillante vise principalement le cyberespionnage, avec pour objectif l'exfiltration de données sensibles comme les configurations système, les identifiants utilisateurs et des fichiers stratégiques. Ces mécanismes sont conçus pour maintenir un accès furtif et persistant, maximisant la collecte de renseignements tout en minimisant les risques de détection. Les échantillons ont été initialement repérés sur VirusTotal, avec des origines géographiques incluant Taïwan, les Philippines et Singapour.
ESET a également documenté FireWood, une seconde porte dérobée Linux dont la connexion avec Gelsemium reste hypothétique. Les chercheurs maintiennent une attribution de faible niveau de confiance, considérant la possibilité que cet outil puisse être partagé entre différents groupes APT alignés avec les intérêts chinois.
Viktor Šperka, chercheur chez ESET, explique : « Ces échantillons représentent des équivalents Linux de malwares Windows précédemment identifiés : WolfsBane est l’équivalent de Gelsevirine, tandis que FireWood s'apparente à Project Wood. Cet intérêt pour les systèmes Linux traduit une évolution stratégique des tactiques d'intrusion, consécutive aux durcissements de sécurité sur environnements Windows, notamment via les solutions EDR et les nouvelles politiques de Microsoft concernant les macros VBA. »
WolfsBane s'articule autour d'une chaîne de chargement minimale comprenant un dropper, un lanceur et une porte dérobée, intégrant un rootkit « userland » open-source modifié. FireWood partage des similitudes avec Project Wood, une infrastructure suivie par ESET depuis 2005 et ayant évolué lors de précédentes campagnes, comme l'opération TooHash. Les archives analysées révèlent également plusieurs outils complémentaires, principalement des webshells permettant une prise de contrôle à distance sur serveurs compromis.
Retrouvez une analyse détaillée et détails technique dans notre article de blog « Unveiling WolfsBane : Gelsemium's Linux counterpart to Gelsevirine » sur WeLiveSecurity.com.
Contact Presse :
Jolya COHOUNDO : +33 07 76 99 70 29 - jolya.c@eset-nod32.fr
À propos d'ESET
Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre des menaces digitales de plus en plus sophistiquées. Protection des terminaux et des mobiles, détection et traitement des incidents, chiffrement et authentification multifacteur... les solutions performantes et faciles à utiliser d’ESET protègent et supervisent discrètement 24 heures sur 24, 7 jours sur 7, en mettant à jour les défenses en temps réel pour assurer sans aucune interruption la sécurité des utilisateurs et le bon fonctionnement des entreprises. L’évolution des menaces exige d’une entreprise de sécurité informatique qu’elle évolue également. C’est le cas d’ESET grâce à ses centres de R&D dans le monde entier travaillant à la protection de notre avenir commun.
Pour plus d’informations, consultez www.eset.com/fr/ ou suivez-nous sur LinkedIn, Facebook et X