Um novo malware multiplataforma chamado KTLVdoor foi descoberto em um ataque cibernético direcionado a uma empresa de comércio na China. O grupo de hackers, conhecido como Earth Lusca, é o responsável por usar essa nova ferramenta, que tem a capacidade de atingir sistemas operacionais Microsoft Windows e Linux. O malware, escrito em Golang, foi detalhado em uma análise publicada pela Trend Micro. O KTLVdoor é altamente ofuscado e se disfarça de utilitários de sistema, permitindo que os invasores realizem tarefas como manipulação de arquivos, execução de comandos e varredura remota de portas. Entre os programas que o malware imita estão sshd, Java, SQLite, bash e edr-agent.

Ele é distribuído como bibliotecas de link dinâmico (.dll) ou objeto compartilhado (.so). Um aspecto notável desse ataque é a descoberta de mais de 50 servidores de comando e controle (C&C), todos hospedados pela empresa chinesa Alibaba, sugerindo que a infraestrutura pode estar sendo compartilhada com outros grupos de ameaças chineses. O Earth Lusca, ativo desde pelo menos 2021, tem realizado ataques contra entidades públicas e privadas em várias regiões, como Ásia, Austrália, Europa e América do Norte, e compartilha táticas com outros grupos, como RedHotel e APT27.

Apesar da descoberta, ainda não se sabe ao certo como o malware está sendo distribuído ou se foi usado para atacar outras entidades ao redor do mundo. Os pesquisadores da Trend Micro levantam a hipótese de que o KTLVdoor possa estar em fase inicial de testes e potencialmente compartilhado com outros grupos de hackers na China.