🔍 Contexte

Publié le 22 avril 2026 par la Threat Hunter Team de Symantec et Carbon Black (Broadcom), cet article présente l’analyse technique d’un nouveau backdoor Linux attribué au groupe APT Harvester, actif depuis au moins 2021 et considéré comme soutenu par un État.

🎯 Campagne et ciblage

Bien qu’aucune victime directe n’ait été observée, les soumissions initiales sur VirusTotal proviennent d’Inde et d’Afghanistan, régions historiquement ciblées par Harvester pour des opérations d’espionnage en Asie du Sud. Les documents leurres utilisés sont adaptés au contexte régional (références à Zomato, au pèlerinage Umrah, au ministère des Affaires étrangères indien).

🛠️ Chaîne d’attaque

  • Accès initial : ingénierie sociale via des documents leurres (PDF/ODT) déployés par un dropper Go
  • Masquage : fichiers ELF déguisés en documents avec une extension . pdf (espace avant l’extension)
  • Persistance : payload i386 (~5,9 Mo) écrit dans ~/.config/systemd/user/userservice, persistance via une unité systemd et une entrée XDG autostart se faisant passer pour Conky (moniteur système Linux légitime)
  • C2 : abus de l’API Microsoft Graph via des boîtes mail Outlook ; credentials Azure AD (tenant ID, client ID, client secret) hardcodés en clair dans l’implant

📡 Mécanisme C2 détaillé

  • Polling d’un dossier mailbox nommé “Zomato Pizza” toutes les 2 secondes via requêtes OData
  • Filtrage des emails avec sujet commençant par ‘Input’
  • Déchiffrement du corps du message en AES-CBC (base64)
  • Exécution via /bin/bash -c
  • Résultats renvoyés chiffrés AES avec sujet ‘Output’
  • Suppression du message de tasking via commande HTTP DELETE

🔗 Liens avec la variante Windows

Les deux variantes partagent :

  • Une clé AES identique : b14ca5898a4e4133bbce2ea2315a1916
  • Des typos identiques dans les chaînes (@odata.ontext, error occured in decryption, Commad Executed) et noms de fonctions (ExcuteCommand, DeleteingMessage)
  • La même logique C2 (Microsoft Graph/Outlook)

Différences notables : architecture cible (i386 vs x64), intervalle de beacon (2s vs 5min sur HTTP 204), dossier mailbox (Zomato Pizza vs Dragan Dash), package Go interne (OUTLOOKCLIENT vs NEWCLIENT).

📄 Nature de l’article

Il s’agit d’une publication de recherche à vocation CTI, présentant une analyse technique approfondie d’un nouveau malware avec IOCs, comparaison inter-plateformes et attribution à un groupe APT connu.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • Harvester (state-sponsored) — orkl.eu

TTP

  • T1566.001 — Phishing: Spearphishing Attachment (Initial Access)
  • T1204.002 — User Execution: Malicious File (Execution)
  • T1059.004 — Command and Scripting Interpreter: Unix Shell (Execution)
  • T1036.007 — Masquerading: Double File Extension (Defense Evasion)
  • T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)
  • T1547.013 — Boot or Logon Autostart Execution: XDG Autostart Entries (Persistence)
  • T1543.002 — Create or Modify System Process: Systemd Service (Persistence)
  • T1102.002 — Web Service: Bidirectional Communication (Command and Control)
  • T1132.001 — Data Encoding: Standard Encoding (Command and Control)
  • T1573.001 — Encrypted Channel: Symmetric Cryptography (Command and Control)
  • T1070.008 — Indicator Removal: Clear Mailbox Data (Defense Evasion)
  • T1552.001 — Unsecured Credentials: Credentials In Files (Credential Access)

IOC

  • SHA256 : 9c23c65a8a392a3fd885496a5ff2004252f1ad4388814b20e5459695280b0b82VT · MalwareBazaar
  • SHA256 : 2d0177a00bed31f72b48965bee34cec04cb5be8eeea66ae0bb144f77e4d439b1VT · MalwareBazaar
  • SHA256 : 74ac41406ce7a7aa992f68b4b3042f980027526f33ec6c8d84cb26f20495c9dcVT · MalwareBazaar
  • SHA256 : 57cd5721bae65c29e58121b5a9b00487a83b6c37dded56052cab2a67f90ea943VT · MalwareBazaar
  • SHA256 : d8d84eaba9b902045ae4fe044e9761ad0ce9051b85feea3f1cf9c80b59b2b123VT · MalwareBazaar
  • Fichiers : TheExternalAffairesMinister.zip
  • Fichiers : TheExternalAffairesMinister. pdf
  • Fichiers : umrah.pdf
  • Fichiers : Details Format. pdf
  • Fichiers : userservice
  • Chemins : ~/.config/systemd/user/userservice

Malware / Outils

  • GoGra (backdoor)
  • Graphon (backdoor)

🟢 Indice de vérification factuelle : 75/100 (haute)

  • ⬜ security.com — source non référencée (0pts)
  • ✅ 7832 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 11 IOCs dont des hashes (15pts)
  • ✅ 3/3 IOCs confirmés (MalwareBazaar, ThreatFox, VirusTotal) (15pts)
  • ✅ 12 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : Harvester (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • 9c23c65a8a392a3f… (sha256) → VT (22/77 détections)
  • 2d0177a00bed31f7… (sha256) → VT (28/77 détections)
  • 74ac41406ce7a7aa… (sha256) → VT (23/77 détections)

🔗 Source originale : https://www.security.com/blog-post/harvester-new-linux-backdoor-gogra