Puerta trasera de WolfsBane
El grupo de amenazas persistentes avanzadas (APT) Gelsemium, alineado con China, ha sido vinculado a una nueva puerta trasera para Linux llamada WolfsBane. Según se informa, esta herramienta se está utilizando en operaciones cibernéticas probablemente dirigidas al este y sudeste de Asia, lo que marca una evolución significativa en las tácticas del grupo.
Tabla de contenido
WolfsBane: una adaptación de Gelsevirine para Linux
Se cree que WolfsBane es la variante de Linux de Gelsevirine, una puerta trasera que se ha empleado en sistemas Windows desde 2014. Además de WolfsBane, los investigadores han identificado otro implante no documentado anteriormente, FireWood, que está vinculado a una suite de malware independiente llamada Project Wood. Aunque FireWood se ha atribuido provisionalmente a Gelsemium, los expertos sugieren que también podría estar compartido por varios grupos de piratas informáticos alineados con China.
Estas puertas traseras están diseñadas para realizar ciberespionaje mediante la recopilación de datos confidenciales, incluidos detalles del sistema, credenciales y archivos. También mantienen el acceso a largo plazo a los sistemas seleccionados, lo que permite operaciones sigilosas y una recopilación prolongada de información.
Acceso inicial incierto y técnicas sofisticadas
El método específico utilizado para obtener el acceso inicial aún no está claro. Sin embargo, se sospecha que Gelsemium aprovechó una vulnerabilidad de aplicación web sin parchear para instalar shells web, que luego se utilizaron para distribuir la puerta trasera WolfsBane a través de un dropper.
WolfsBane utiliza el rootkit de código abierto modificado BEURK para ocultar sus actividades en sistemas Linux mientras ejecuta comandos desde un servidor remoto. De manera similar, FireWood utiliza un módulo rootkit a nivel de núcleo llamado usbdev.ko para ocultar procesos y ejecutar comandos de manera sigilosa.
Primera campaña de malware para Linux de Gelsemium
El uso de WolfsBane y FireWood representa el primer despliegue documentado de malware basado en Linux por parte de Gelsemium, lo que indica un cambio en el enfoque de sus ataques. Este avance pone de relieve la adaptabilidad del grupo y su interés en ampliar su alcance operativo.
El creciente interés por los sistemas Linux en el panorama APT
El uso cada vez mayor de sistemas Linux por parte de actores de amenazas como Gelsemium refleja tendencias más amplias en el ecosistema APT. A medida que las organizaciones mejoran sus defensas con tecnologías de detección de puntos finales y correo electrónico, incluida la desactivación predeterminada de macros VBA por parte de Microsoft y la creciente adopción de soluciones de detección y respuesta de puntos finales (EDR), los atacantes están recurriendo a plataformas alternativas.
La focalización estratégica de los entornos Linux subraya la necesidad de contar con enfoques de seguridad sólidos y de múltiples capas capaces de detectar y mitigar estas amenazas avanzadas.
