🔍 Contexte
Analyse publiée le 20 mars 2026 par Xavier Mertens (ISC SANS Handler) suite à la découverte d’un script Bash malveillant installant un backdoor basé sur GSocket/gs-netcat. Le vecteur de livraison initial est inconnu. Le sample a été identifié sur VirusTotal avec seulement 17 détections antivirus.
🛠️ Fonctionnement du malware
GSocket est un outil réseau légitime permettant des communications pair-à-pair via un réseau de relais global, en utilisant un secret partagé plutôt que des adresses IP. L’outil gs-netcat est détourné ici pour fournir un shell distant et un canal C2.
Le script Bash :
- Télécharge et exécute un client GSocket (
gs-netcat) depuis le CDN officiel G-Socket - Stocke le binaire ELF dans
.ssh/puttyet le secret partagé dans un faux fichier de clé SSH (id_rsa) - Se connecte à une infrastructure de relais GSocket pour le C2
🔄 Mécanismes de persistance
- Cron job : redémarrage toutes les heures en top-of-hour
- Fichier
.profile: ajout du code de redémarrage pour persistance à la connexion utilisateur
🕵️ Techniques anti-forensiques
Le script implémente un système de suivi et restauration de timestamps sur les fichiers modifiés :
- Fonctions
mk_file(),ts_restore(),ts_is_marked()pour enregistrer les timestamps originaux avant modification - Restauration des timestamps après opérations pour masquer les changements du système de fichiers
- Les opérations fichiers (cp, rm, mv) sont encapsulées dans des fonctions « helper » intégrant ce mécanisme
🖥️ Compatibilité multi-OS
Le script détecte et s’adapte à :
- Linux (linux-gnu)
- macOS (darwin)
- FreeBSD
- OpenBSD
📌 Attribution partielle
L’outil se présente sous le nom “G-Socket Bypass Stealth” et référence le handle @bboscat (archivé sur zone-xsec.com). Le script non obfusqué avec commentaires suggère un upload VT à des fins de test par le développeur.
📄 Type d’article
Analyse technique détaillée d’un sample malveillant, destinée à la communauté CTI pour identification et détection de la menace.
🧠 TTPs et IOCs détectés
Acteurs de menace
- @bboscat (unknown)
TTP
- T1059.004 — Command and Scripting Interpreter: Unix Shell (Execution)
- T1053.003 — Scheduled Task/Job: Cron (Persistence)
- T1546.004 — Event Triggered Execution: Unix Shell Configuration Modification (Persistence)
- T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
- T1090.003 — Proxy: Multi-hop Proxy (Command and Control)
- T1070.006 — Indicator Removal: Timestomp (Defense Evasion)
- T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)
- T1105 — Ingress Tool Transfer (Command and Control)
IOC
- Domaines :
gsocket.io - SHA256 :
6ce69f0a0db6c5e1479d2b05fb361846957f5ad8170f5e43c7d66928a43f3286 - SHA256 :
d94f75a70b5cabaf786ac57177ed841732e62bdcc9a29e06e5b41d9be567bcfa - Fichiers :
id_rsa - Fichiers :
gs-netcat - Chemins :
.ssh/putty
Malware / Outils
- GSocket (tool)
- gs-netcat (backdoor)
🔗 Source originale : https://isc.sans.edu/diary/GSocket+Backdoor+Delivered+Through+Bash+Script/32816