Source et contexte — Trend Research (Trend Micro), billet de blog du 8 déc. 2025 : les chercheurs présentent GhostPenguin, un backdoor Linux inédit découvert via une pipeline de chasse aux menaces automatisée et dopée à l’IA, après analyse de samples à zéro détection sur VirusTotal.
Découverte et méthode 🧠🤖
- Collecte massive d’échantillons (notamment Linux) et extraction d’artefacts (strings, API, comportements, fonctions, constantes) dans une base structurée.
- Génération de règles YARA et requêtes VirusTotal pour traquer des échantillons zéro détection, profilage avec IDA Pro/Hex-Rays, CAPA, FLOSS, YARA.
- Agents IA « Quick Inspect » (scoring/tri) et « Deep Inspector » (rapport détaillé : résumé, capacités, flux d’exécution, analyse technique, mapping MITRE ATT&CK).
- Le sample nommé « GhostPenguin » a été soumis le 7 juil. 2025 et est resté sans détection plus de quatre mois.
Capacités et architecture du malware 🐧
- Type : backdoor Linux multi‑thread en C++ offrant remote shell via « /bin/sh » et opérations complètes sur le système de fichiers (créer/supprimer/renommer/lire/écrire, modifier timestamps, recherche par extension).
- C2 : communication chiffrée RC5 via UDP/53 📡🔐, handshake structuré avec session ID 16 octets (servant de clé RC5), heartbeat périodique, livraison fiable des commandes, threads synchronisés (inscription, heartbeat, réception/envoi).
- Collecte d’infos : IP, passerelle, version OS, hostname, username envoyés lors de l’enregistrement.
- Singleton : création d’un fichier « ~/.temp » contenant le PID pour éviter les doubles instances (vérification via kill(pid, 0)).
Éléments de développement et artefacts
- Artefacts de debug (g_szConfigDebug) et fonctions de persistance implémentées mais non utilisées (ImpPresistence, ImpUnPresistence), suggérant un développement en cours.
- Fautes d’orthographe dans le code : « ImpPresistence », « Userame », « IsPorecessExistByPID ».
Couverture produit
- Trend Vision One indique détecter/bloquer les IoCs mentionnés et fournir des requêtes de hunting, insights et rapports liés à GhostPenguin.
IoCs (indicateurs)
- Nom du binaire : “systemd”
- Hashes :
- MD5 : 7d3bd0d04d3625322459dd9f11cc2ea3
- SHA1 : 145da15a33b54e0602e0bbe810ef6c25f2701d50
- SHA256 : 7b75ce1d60d3c38d7eb63627e4d3a8c7e6a0f8f65c70d0b0cc4756aab98e9ab7
- Format : ELF 64-bit LSB, x86‑64 ; Taille : ~91,3 Ko
- Réseau : UDP/53 ; chiffrement RC5 ; ID de session initial « FFFFFFFFFFFFFFFF » (requête initiale non chiffrée)
- Artefact local : fichier PID « ~/.temp »
TTPs observés
- Exécution : remote shell via /bin/sh
- Command and Control : C2 chiffré RC5 sur UDP/53, handshake avec session ID, heartbeat
- Découverte : collecte d’informations système et réseau (IP, gateway, OS, hostname, username)
- Défense/évasion : faible détection, code personnalisé, faible bruit réseau
- Gestion d’instance : verrou par fichier PID et vérification de process actif
- Conception : multi‑thread, files de traitement distinctes (inscription/heartbeat/envoi/réception)
Conclusion
- Type d’article : analyse de menace / publication de recherche détaillant la découverte via IA et la déconstruction technique d’un backdoor Linux inédit et furtif.
🧠 TTPs et IOCs détectés
TTP
Exécution : remote shell via /bin/sh; Command and Control : C2 chiffré RC5 sur UDP/53, handshake avec session ID, heartbeat; Découverte : collecte d’informations système et réseau (IP, gateway, OS, hostname, username); Défense/évasion : faible détection, code personnalisé, faible bruit réseau; Gestion d’instance : verrou par fichier PID et vérification de process actif; Conception : multi-thread, files de traitement distinctes (inscription/heartbeat/envoi/réception)
IOC
Nom du binaire : systemd; Hashes : MD5 : 7d3bd0d04d3625322459dd9f11cc2ea3, SHA1 : 145da15a33b54e0602e0bbe810ef6c25f2701d50, SHA256 : 7b75ce1d60d3c38d7eb63627e4d3a8c7e6a0f8f65c70d0b0cc4756aab98e9ab7; Réseau : UDP/53; Artefact local : fichier PID ~/.temp
🔗 Source originale : https://www.trendmicro.com/en_us/research/25/l/ghostpenguin.html