Un groupe de piratage inconnu parrainé par l’État chinois a été lié à un nouveau logiciel malveillant visant les serveurs Linux.
La société française de cybersécurité ExaTrack, qui a trouvé trois échantillons du logiciel malveillant précédemment documenté qui remonte au début de 2022, l’a surnommé Mélofée.
L’un des artefacts est conçu pour supprimer un rootkit en mode noyau basé sur un projet open source appelé Reptile.
« Selon les métadonnées vermagiques, il est compilé pour une version de noyau 5.10.112-108.499.amzn2.x86_64, » la société a dit dans un rapport. « Le rootkit a un ensemble limité de fonctionnalités, installant principalement un crochet conçu pour se cacher. »
L’implant et le rootkit sont censés être déployés à l’aide de commandes shell qui téléchargent un programme d’installation et un package binaire personnalisé à partir d’un serveur distant.
Le programme d’installation prend le package binaire comme argument, puis extrait le rootkit ainsi qu’un module d’implantation de serveur actuellement en cours de développement.
Les fonctionnalités de Mélofée ne sont pas différentes des autres portes dérobées de ce type, lui permettant de contacter un serveur distant et de recevoir des instructions lui permettant d’effectuer des opérations sur les fichiers, de créer des sockets, de lancer un shell et d’exécuter des commandes arbitraires.
Les liens du logiciel malveillant avec la Chine proviennent de chevauchements d’infrastructures avec des groupes tels qu’APT41 (alias Winnti) et Earth Berberoka (alias Marionnette).
Earth Berberoka est le nom donné à un acteur parrainé par l’État ciblant principalement les sites Web de jeux d’argent en Chine depuis au moins 2020 en utilisant des logiciels malveillants multiplateformes comme HelloBot et Chiot RAT.
Selon Trend Micro, certains échantillons du Pupy RAT basé sur Python ont été dissimulés à l’aide du rootkit Reptile.
Découvrez les dangers cachés des applications SaaS tierces
Êtes-vous conscient des risques associés à l’accès d’applications tierces aux applications SaaS de votre entreprise ? Rejoignez notre webinaire pour en savoir plus sur les types d’autorisations accordées et sur la manière de minimiser les risques.
ExaTrack a également découvert un autre implant nommé AlienReverse, qui partage des similitudes de code avec Mélofée et utilise des outils accessibles au public comme Ver de terre et chaussettes_proxy.
« La famille d’implants Mélofée est un autre outil dans l’arsenal des attaquants parrainés par l’État chinois, qui font preuve d’innovation et de développement constants », a déclaré la société.
« Les capacités offertes par Mélofée sont relativement simples, mais peuvent permettre aux adversaires de mener leurs attaques sous le radar. Ces implants n’ont pas été largement vus, ce qui montre que les attaquants limitent probablement son utilisation à des cibles de grande valeur. »