Um novo grupo de ameaças persistentes avançadas (APT), Gelsemium, está utilizando um backdoor chamado WolfsBane para atacar sistemas Linux, com alvos concentrados no Leste e Sudeste Asiático. A descoberta foi baseada em amostras de malware enviadas à plataforma VirusTotal em março de 2023, provenientes de Taiwan, Filipinas e Singapura.

O WolfsBane é considerado uma versão adaptada para Linux do backdoor Gelsevirine, utilizado pelo Gelsemium desde 2014. Além disso, os pesquisadores identificaram outro implante, chamado FireWood, conectado ao conjunto de ferramentas Project Wood. Embora FireWood tenha sido atribuído ao Gelsemium com baixa confiança, há indícios de que ele também possa ser compartilhado por outros grupos de hackers ligados à China.

O objetivo desses malwares é espionagem cibernética, focada em obter dados sensíveis, como informações do sistema, credenciais de usuários e arquivos específicos. Esses backdoors são projetados para manter acesso persistente, executar comandos de forma furtiva e prolongar a coleta de inteligência sem serem detectados. O vetor inicial de acesso utilizado pelos atacantes permanece desconhecido, mas acredita-se que eles exploraram vulnerabilidades em aplicações web para instalar web shells, garantindo acesso remoto persistente.

A partir daí, o backdoor WolfsBane foi entregue por meio de um dropper, permitindo a execução de comandos enviados por um servidor controlado pelos atacantes. O WolfsBane utiliza uma versão modificada do rootkit BEURK para ocultar suas atividades no sistema Linux, enquanto o FireWood emprega um módulo de rootkit chamado usbdev.ko para esconder processos e executar comandos remotamente. Essa é a primeira vez que o uso de malware para Linux pelo Gelsemium é documentado, indicando uma expansão em seus métodos de ataque.