Un implante sigiloso de Linux recientemente identificado ha permitido al grupo chino de ciberespionaje Winnti realizar ataques dirigidos bajo el radar, advierte la firma francesa de ciberseguridad ExaTrack.
Apodado ‘ Melofee ‘ y dirigido a servidores Linux, el malware va acompañado de un rootkit en modo kernel y se instala mediante comandos de shell, un comportamiento similar al de otros rootkits Winnti Linux.
Las muestras de Melofee identificadas probablemente tengan fecha de abril/mayo de 2022 y comparten una base de código común, pero muestran pequeños cambios en el protocolo de comunicación, el cifrado y la funcionalidad. El principal cambio entre las muestras observadas es la inclusión de un rootkit en modo kernel en la versión más reciente.
El rootkit es una versión modificada de un proyecto de código abierto llamado Reptile y tiene una funcionalidad limitada, principalmente instalando un enlace para ocultarse y otro para asegurar la comunicación con el componente de la zona de usuario.
La cadena de infección implica el uso de comandos de shell para obtener un instalador y un binario personalizado de un servidor controlado por un atacante. Escrito en C++, el instalador implementa tanto el rootkit como el implante del servidor y garantiza que ambos se ejecuten en el momento del arranque.
El implante admite comandos para eliminar su proceso y eliminar la persistencia, actualizarse y reiniciarse, crear un nuevo socket para la interacción, recolectar y filtrar información del sistema, leer/escribir archivos, iniciar un shell y enumerar/crear/eliminar directorios.
El malware admite la comunicación a través de TCP, utilizando un formato de paquete personalizado, puede utilizar un canal cifrado TLS para intercambiar datos con el servidor de comando y control (C&C) y puede enviar datos utilizando el protocolo KCP.
El análisis de la infraestructura de Melofee reveló conexiones con servidores C&C utilizados por ShadowPad, Winnti y HelloBot, y con dominios que PlugX, Spark, Cobalt Strike, StowAway y la herramienta de control remoto toDesk han utilizado como servidores C&C.
ExaTrack también descubrió un implante de Linux llamado ‘AlienReverse’, que mostraba similitudes de código con Melofee, pero que consideran una familia de malware diferente.
“Las capacidades que ofrece Melofee son relativamente simples, pero pueden permitir que los adversarios realicen sus ataques bajo el radar. Estos implantes no se vieron mucho, lo que demuestra que los atacantes probablemente limitan su uso a objetivos de alto valor”, concluye ExaTrack.
También conocida como APT41, Bario, Blackfly, Bronze Atlas, Double Dragon, Wicked Spider y Wicked Panda, y se cree que está patrocinada por el gobierno chino, Winnti ha estado lanzando activamente ciberespionaje y ataques con fines financieros desde al menos 2007.
