Investigación de ESET: WolfsBane, nueva puerta trasera de ciberespionaje para Linux creada por Gelsemium, vinculada a China – Comunicados de prensa

BRATISLAVA, 21 de noviembre de 2024 — Los investigadores de ESET han identificado varias muestras de una puerta trasera de Linux, a la que llamaron WolfsBane y que atribuyen con alta certeza a Gelsemium, un grupo de amenazas persistentes avanzadas (APT) vinculado a China. El objetivo de estas puertas y de las herramientas descubiertas es el ciberespionaje. Se dirige a datos confidenciales: información del sistema, identificadores de usuario, así como archivos y directorios específicos. Estas herramientas están diseñadas para mantener un acceso persistente y ejecutar comandos de manera sigilosa, lo que permite una recopilación prolongada de inteligencia mientras se evade la detección. ESET descubrió las muestras en VirusTotal; fueron subidos desde Taiwán, Filipinas y Singapur, probablemente como respuesta a un incidente en un servidor comprometido. Gelsemium se había dirigido anteriormente a entidades del este de Asia y Oriente Medio. Este actor de amenazas vinculado a China tiene una historia que se remonta a 2014 y hasta ahora no ha habido informes públicos de que Gelsemium utilice malware para Linux.

ESET Research también descubrió FireWood, otra puerta trasera de Linux, pero no puede vincularla definitivamente con otras herramientas de Gelsemium. Su presencia en los archivos analizados podría ser una coincidencia. Por lo tanto, ESET atribuye FireWood a Gelsemium con poca confianza, ya que podría ser una herramienta compartida por varios grupos APT alineados con China.

“Las muestras más notables encontradas en los archivos descargados de VirusTotal son dos puertas traseras que se asemejan al conocido malware de Windows utilizado por Gelsemium. WolfsBane es el equivalente Linux de Gelsevirine, mientras que FireWood está relacionado con el proyecto Wood. También descubrimos otras herramientas potencialmente relacionadas con las actividades de Gelsemium”, explica el investigador de ESET Viktor Šperka, quien analizó el último conjunto de herramientas de Gelsemium.

“Los grupos APT tienden a centrarse en el malware para Linux, y esto se está volviendo cada vez más notorio. Creemos que este cambio se debe a las mejoras en la seguridad de los terminales y el correo electrónico de Windows, como el uso generalizado de herramientas de respuesta y detección de terminales y la decisión de Microsoft de desactivar las macros de Visual Basic de forma predeterminada. Luego, los actores maliciosos exploran nuevos medios de ataque y se centran más en explotar las vulnerabilidades en los sistemas conectados a Internet, la mayoría de los cuales ejecutan Linux”, explica Šperka.

WolfsBane, la primera puerta trasera, forma parte de una cadena de carga sencilla que consta de cuentagotas, lanzador y puerta trasera. Parte de la cadena de ataque de WolfsBane también es un rootkit de código abierto modificado, un tipo de software que existe en el espacio de usuario de un sistema operativo y oculta sus actividades. FireWood, la segunda puerta trasera, está conectada a una puerta trasera rastreada por los investigadores de ESET bajo el nombre de Proyecto Wood. ESET lo rastreó hasta 2005 y observó su evolución hacia versiones más sofisticadas. Ya se había utilizado en la Operación TooHash. Los archivos analizados por ESET también contienen varias herramientas adicionales, principalmente webshells, que permiten el control remoto por parte de un atacante una vez instalados en un servidor comprometido, así como herramientas de utilidad simples.

Para obtener una revisión más detallada y un análisis técnico de las últimas herramientas de Gelsemium, consulte el último blog de ESET Research, Unveiling WolfsBane: Gelsemium’s Linux equivalente a Gelsevirine” en www.WeLiveSecurity.com. Siga a ESET Research en Twitter (hoy conocido como X) para conocer las últimas noticias de ESET Research.