Alcuni ricercatori hanno individuato una backdoor su Linux finora sconosciuta, utilizzata da hacker legati al governo cinese.
Si tratta di una nuova backdoor che ha origine da una già conosciuta in ambiente Windows, nota come Trochilus e individuata per la prima volta nel 2015 dai ricercatori di Arbor Networks (ora Netscout).
A causa della sua natura, all’epoca gli esperti hanno definito Trochilus come difficile da rilevare per gli antivirus. I ricercatori di NHS Digital hanno in seguito affermato che Trochilus è stato sviluppato da APT10, un gruppo avanzato di minacce persistenti legato al governo cinese noto anche come Stone Panda o MenuPass.
Il codice sorgente di Trochilus, disponibile da anni su GitHub, è stato utilizzato da diverse campagne e ha dato vita alla nuova backdoor individuata in ambiente Linux.
A tal proposito, il primo contatto è avvenuto tramite Trend Micro, con il rilevamento di un file binario crittografato su un server noto per essere utilizzato da un gruppo già monitorato da un paio di anni.
Backdoor Linux sconosciuta: ecco cosa hanno scoperto gli esperti
Cercando in VirusTotal il nome del file, libmonitor.so.2, i ricercatori hanno individuato un file Linux eseguibile denominato mkmon. Questo eseguibile contiene credenziali che possono essere utilizzate per decrittografare il file libmonitor.so.2 e recuperare il payload originale, portando i ricercatori a concludere che mkmon è un file di installazione che lavora su libmonitor.so.2.
Il malware Linux ha effettuato il porting di diverse funzioni presenti in Trochilus e le ha combinate con una nuova implementazione Socket Secure (SOCKS). I ricercatori di Trend Micro alla fine hanno chiamato la loro scoperta SprySOCKS.
SprySOCKS implementa le consuete funzionalità backdoor, tra cui la raccolta di informazioni di sistema, l’apertura di una shell remota per il controllo dei sistemi compromessi, l’elenco delle connessioni di rete e la creazione di un proxy basato sul protocollo SOCKS per caricare file e altri dati tra il sistema compromesso e quello controllato dall’aggressore.
Il server di comando e controllo a cui si connette SprySOCKS presenta importanti somiglianze con un server utilizzato in una campagna con un malware Windows noto come RedLeaves. Come SprySOCKS, anche RedLeaves risulta basato su Trochilus.
Trend Micro sta attribuendo SprySOCKS a un attore di minacce che ha soprannominato Earth Lusca. I ricercatori hanno scoperto il gruppo nel 2021 e lo hanno documentato il suo operato l’anno successivo.
Earth Lusca si rivolge a organizzazioni di tutto il mondo, anche se sembra prediligere governi asiatici. Utilizza tecniche di social engineering per attirare gli obiettivi verso siti che diffondono malware. Oltre a mostrare interesse per le attività di spionaggio, Earth Lusca sembra motivato finanziariamente, visto che alcune attività coinvolgono anche piattaforme relative al gioco d’azzardo e alle criptovalute.