Source: PolySwarm Hivemind — Analyse détaillée d’une campagne Linux où le backdoor VShell est diffusé par une chaîne d’infection inédite exploitant des noms de fichiers RAR malveillants, avec liens à plusieurs APT chinoises.
VShell est un backdoor Linux en Go qui s’appuie sur une injection de commande via nom de fichier dans des archives RAR. Un fichier dont le nom contient une commande Bash encodée Base64 s’exécute lorsque des opérations shell courantes (ex. ls, find, eval) traitent ce nom, déclenchant l’infection sans interaction supplémentaire ni bit exécutable. L’attaque débute par un email de spam déguisé en sondage beauté offrant une petite récompense 💌.
La chaîne comporte trois étapes. Étape 1: le nom de fichier malveillant est décodé et pipe une commande vers Bash pour télécharger un script de stade 2 depuis un serveur C2. Ce script détecte l’architecture (x86, x64, ARM, ARM64) et récupère un binaire ELF adapté. Étape 2: exécution robuste via tentatives dans plusieurs répertoires inscriptibles et nohup en arrière-plan. Étape 3: le binaire télécharge un payload chiffré XOR, le déchiffre en mémoire et l’exécute par fexecve(), évitant toute trace sur disque; le payload final se fait passer pour un thread noyau.
Capacités de VShell: reverse shell, transfert de fichiers, gestion de processus, redirection TCP/UDP et tunneling réseau. Il communique avec le C2 via XOR, fonctionne exclusivement en mémoire, et empêche la réinfection par un fichier marqueur. Le premier étage est aligné avec le dropper Snowlight. La détection est difficile car les antivirus inspectent rarement les noms de fichiers et l’analyse statique peut manquer les charges encodées; la détection comportementale requiert une surveillance d’activités shell anormales ou de trafic C2.
Attributions et exploitation: l’usage de VShell est observé chez plusieurs APT chinoises — UNC5174 (Uteus), Earth Lamia, CL-STA-0048, UNC5221 — avec exploitation de vulnérabilités comme ConnectWise ScreenConnect (CVE-2024-1709) et SAP NetWeaver (CVE-2025-31324). Des outils et techniques associés incluent SNOWLIGHT, GOREVERSE, KrustyLoader (Rust), Cobalt Strike, SuperShell, PlugX, Sliver, web shells, DLL sideloading, certificats de signature volés, C2 WebSocket, et campagnes de scanning à grande échelle.
IOCs (hashes associés):
- 5bde055523d3b5b10f002c5d881bed882e60fa47393dff41d155cab8b72fc5f4
- d7d5c1f933846823ceb0f8c69bb41801713a6922741183501c344081a48f500b
- bcc10098b91bbb841ed5c1ec663436738479d071a96145f43b121881a5517d35
- 6b7d2af6eeff8f2b73dae75037ca783e0f38510caadf5a9ca1f7be5bb9aed70d
- d1119e6de574a16d7cda385555da5a742ae2cec44fdd322603a8c31e3055a2d2
- 8ef56b48ac164482dddf6a80f7367298d7b4d21be3aadf0ee1d82d63e3ac0c0a
- 20011cbb63b69bf36e6bcd7092d54d294a16c0f9e3209a85d4b5a02238bd928e
- 9171f1d87e8f575ff16b16eea2b7eb14e4d3f2348fa23738ed11dfc560073a59
- 3ff96535114625069b4bad655b46e82b9b214bcb17815454f38cf554a9846263
- 36b4ad17ac45dd371a79600ad09a91233d087abc2038b66f3911d4fe1dc2a6f0
TTPs observés (extraits):
- 🪤 Exploitation de noms de fichiers RAR pour injection de commandes Bash via opérations shell non assainies (ls/find/eval).
- 🎯 Phishing par spam (leurre « sondage beauté ») sans vol d’identifiants.
- 🧪 Snowlight dropper en étape initiale; détection d’architecture et téléchargement d’ELF spécifique.
- 🧠 Exécution fileless: déchiffrement XOR et fexecve() en mémoire; nohup pour la résilience; marqueur anti-réinfection; déguisement en thread noyau.
- 🔌 Capacités post-exploitation: reverse shell, port forwarding TCP/UDP, gestion de fichiers/processus.
- 🔓 Exploit de CVE-2024-1709 (ConnectWise ScreenConnect) et CVE-2025-31324 (SAP NetWeaver); outils adjacents: PlugX, Cobalt Strike, SuperShell, Sliver, web shells, KrustyLoader.
Conclusion: Il s’agit d’une analyse de menace présentant le backdoor VShell, sa chaîne d’infection, ses capacités, les IOCs/TTPs associés et les groupes APT impliqués.
🧠 TTPs et IOCs détectés
TTP
[‘Exploitation de noms de fichiers RAR pour injection de commandes Bash via opérations shell non assainies (ls/find/eval)’, ‘Phishing par spam (leurre « sondage beauté ») sans vol d’identifiants’, ‘Snowlight dropper en étape initiale; détection d’architecture et téléchargement d’ELF spécifique’, ‘Exécution fileless: déchiffrement XOR et fexecve() en mémoire; nohup pour la résilience; marqueur anti-réinfection; déguisement en thread noyau’, ‘Capacités post-exploitation: reverse shell, port forwarding TCP/UDP, gestion de fichiers/processus’, ‘Exploit de CVE-2024-1709 (ConnectWise ScreenConnect) et CVE-2025-31324 (SAP NetWeaver)’, ‘Outils adjacents: PlugX, Cobalt Strike, SuperShell, Sliver, web shells, KrustyLoader’]
IOC
[‘5bde055523d3b5b10f002c5d881bed882e60fa47393dff41d155cab8b72fc5f4’, ‘d7d5c1f933846823ceb0f8c69bb41801713a6922741183501c344081a48f500b’, ‘bcc10098b91bbb841ed5c1ec663436738479d071a96145f43b121881a5517d35’, ‘6b7d2af6eeff8f2b73dae75037ca783e0f38510caadf5a9ca1f7be5bb9aed70d’, ‘d1119e6de574a16d7cda385555da5a742ae2cec44fdd322603a8c31e3055a2d2’, ‘8ef56b48ac164482dddf6a80f7367298d7b4d21be3aadf0ee1d82d63e3ac0c0a’, ‘20011cbb63b69bf36e6bcd7092d54d294a16c0f9e3209a85d4b5a02238bd928e’, ‘9171f1d87e8f575ff16b16eea2b7eb14e4d3f2348fa23738ed11dfc560073a59’, ‘3ff96535114625069b4bad655b46e82b9b214bcb17815454f38cf554a9846263’, ‘36b4ad17ac45dd371a79600ad09a91233d087abc2038b66f3911d4fe1dc2a6f0’]
🔗 Source originale : https://blog.polyswarm.io/vshell-linux-backdoor