Pesquisadores de segurança descobriram um backdoor baseado em PHP chamado Glutton, usado em ataques cibernéticos que visam países como China, Estados Unidos, Camboja, Paquistão e África do Sul. A descoberta foi feita pelo QiAnXin XLab em abril de 2024, que atribui o malware com moderada confiança ao grupo de hackers chineses Winnti (APT41). Curiosamente, o Glutton parece ter sido projetado para atacar não apenas alvos tradicionais, mas também operadores de cibercrime, revertendo suas ferramentas contra eles em uma estratégia de “sem honra entre ladrões”.

O Glutton coleta informações sensíveis do sistema, injeta código malicioso em frameworks PHP populares como Baota (BT), ThinkPHP, Yii e Laravel, e instala um componente backdoor ELF. Este componente apresenta semelhanças com a ferramenta PWNLNX, anteriormente associada ao grupo Winnti. Apesar das possíveis conexões com o APT41, o XLab observou uma falta de técnicas avançadas normalmente associadas ao grupo, como comunicações C2 criptografadas e ofuscação de código. O malware utiliza HTTP em vez de HTTPS para baixar payloads e carece de métodos sofisticados de ocultação.

O Glutton funciona como um framework modular que infecta arquivos PHP em dispositivos-alvo e instala backdoors. Acredita-se que o acesso inicial seja obtido por meio de exploração de vulnerabilidades zero-day e N-day, além de ataques de força bruta. O backdoor oferece 22 comandos exclusivos, permitindo alternar conexões C2 entre TCP e UDP, executar shells, manipular arquivos e diretórios, e executar código PHP arbitrário.