
Los investigadores han descubierto una puerta trasera de Linux nunca antes vista que está siendo utilizada por actores de amenazas afiliados al gobierno chino. De un informe: La nueva puerta trasera se origina a partir de una puerta trasera de Windows llamada Trochilus, que fue descubierta por primera vez en 2015 por investigadores de Arbor Networks (ahora conocido como Netscout).Dicen que Trochilus sólo se ejecuta y se ejecuta en la memoria, la carga útil final En la mayoría de los casos nunca aparece en el disco.. Esto hace que el malware sea difícil de detectar. Los investigadores del NHS Digital del Reino Unido dicen que Trochilus fue desarrollado por APT10, un grupo de amenazas persistentes avanzadas con vínculos con el gobierno chino, también conocido como Stone Panda y MenuPass.
Otros grupos finalmente lo utilizaron y su código fuente ha estado disponible en GitHub durante más de seis años. Se descubrió que Trochilus se utilizó en una campaña que utilizaba un malware independiente llamado RedLeaves. En junio, investigadores de la empresa de seguridad Trend Micro descubrieron un archivo binario cifrado en un servidor que se sabía que utilizaba un grupo al que habían estado rastreando desde 2021. Al buscar el nombre de archivo âlibmonitor.so.2 en VirusTotal, los investigadores encontraron un archivo ejecutable de Linux llamado «mkmon». El ejecutable contiene credenciales que pueden usarse para descifrar el archivo libmonitor.so.2 y restaurar su carga útil original, lo que llevó a los investigadores a concluir que «mkmon» es un archivo de instalación que proporciona y descifra libmonitor.so.2.
El malware de Linux portó varias características de Trochilus y las combinó con la implementación del nuevo socket de seguridad (SOCKS). Los investigadores de Trend Micro finalmente llamaron a su descubrimiento SprySOCKS, donde «rápido» se refiere a su comportamiento rápido y al componente SOCKS agregado. SprySOCKS implementa funciones de puerta trasera comunes, incluida la recopilación de información del sistema, la apertura de un shell remoto interactivo para controlar el sistema infectado, la lista de conexiones de red y el establecimiento de un proxy basado en el protocolo SOCKS para el control entre el sistema infectado y el atacante. sistemas al servidor de comando.