Linux

Source: PolySwarm Hivemind — Analyse détaillée d’une campagne Linux où le backdoor VShell est diffusé par une chaîne d’infection inédite exploitant des noms de fichiers RAR malveillants, avec liens à plusieurs APT chinoises. VShell est un backdoor Linux en Go qui s’appuie sur une injection de commande via nom de fichier dans des archives RAR. Un fichier dont le nom contient une commande Bash encodée Base64 s’exécute lorsque des opérations shell courantes (ex. ls, find, eval) traitent ce nom, déclenchant l’infection sans interaction supplémentaire ni bit exécutable. L’attaque débute par un email de spam déguisé en sondage beauté offrant une petite récompense 💌. ...

Selon Trellix (Advanced Research Center), une campagne cible Linux via un vecteur inédit: un nom de fichier piégé dans une archive RAR qui déclenche l’exécution Bash lors d’opérations de scripts non sécurisées (eval/echo/printf). L’analyse technique détaille une chaîne fileless, multi‑étapes, aboutissant au backdoor VShell exécuté en mémoire et masqué en processus noyau. • Étapes clés de l’infection 🐧 Vecteur initial (spam + .rar): un e‑mail appât renferme une archive contenant un fichier dont le nom embarque du Bash encodé Base64. L’extraction seule ne l’exécute pas; l’exécution survient lorsque des scripts manipulent les noms de fichiers sans sanitisation (ex: for f in *, eval “echo $f”, find/xargs avec eval…). Stage 1 (déclencheur): le nom de fichier évalue un downloader Bash (via curl/wget) vers le C2 47.98.194.60. Stage 2 (downloader): détermine l’architecture (x86, x64, ARM, ARM64), télécharge un ELF adapté, et l’exécute silencieusement avec nohup via plusieurs chemins de repli. Stage 3 (loader ELF): contacte le C2, reçoit une charge XOR 0x99, la décrypte en mémoire puis l’exécute avec fexecve(), tout en se déguisant en thread noyau « [kworker/0:2] » et en évitant la ré‑infection via un marqueur (/tmp/log_de.log). L’étape initiale est alignée sur l’activité du dropper Snowlight (abus de noms de fichiers + exécution Bash). • Charge finale: VShell (backdoor Go) 🕵️‍♂️ ...

Selon BleepingComputer, le groupe d’espionnage pakistanais APT36 mène de nouvelles attaques en abusant de fichiers .desktop sous Linux afin de charger un malware contre des organismes gouvernementaux et de défense en Inde. Points clés: Acteur: APT36 (Pakistan) Technique: abus de fichiers .desktop pour charger un malware Plateforme: Linux 🐧 Cibles: entités de gouvernement et de défense en Inde 🎯 Nature: cyberespionnage TTPs observés: Utilisation de fichiers .desktop Linux comme vecteur pour lancer/charger le malware. Impact et portée: ...

Selon PolySwarm (blog), le groupe à l’origine du ransomware Gunra étend son opération au-delà de Windows avec une variante Linux axée sur la rapidité d’exécution et l’efficacité, observée avec un impact sur plusieurs secteurs (santé, gouvernement, fabrication) à l’échelle mondiale. • Aperçu de la menace: La variante Linux met l’accent sur la vitesse de chiffrement plutôt que sur la négociation immédiate, omettant la note de rançon pour maximiser la disruption. Elle cible plusieurs secteurs et s’inscrit dans une stratégie cross‑platform. ...

Dans le cadre de leurs efforts continus de chasse aux menaces, des chercheurs de Nextron Systems ont identifié un backdoor furtif pour Linux, nommé Plague. Ce backdoor est conçu comme un module d’authentification modulaire (PAM) malveillant, permettant aux attaquants de contourner silencieusement l’authentification du système et d’obtenir un accès SSH persistant. Bien que plusieurs variantes de ce backdoor aient été téléchargées sur VirusTotal au cours de l’année écoulée, aucun moteur antivirus ne les a signalées comme malveillantes. Cela suggère que Plague a réussi à éviter la détection dans de nombreux environnements. Le backdoor s’intègre profondément dans la pile d’authentification, survit aux mises à jour du système et laisse presque aucune trace médico-légale, ce qui le rend exceptionnellement difficile à détecter avec des outils traditionnels. ...

Cet article publié par Sandfly Security alerte sur une menace croissante pour les systèmes Linux : les rootkits de type LD_PRELOAD tels que Medusa. Ces rootkits interceptent les appels de bibliothèques dynamiques pour masquer des activités malveillantes, telles que des fichiers, processus et connexions réseau, aux commandes système standard. Medusa fonctionne en utilisant des mécanismes LD_PRELOAD pour prioriser les bibliothèques malveillantes par rapport aux légitimes, affectant ainsi des commandes comme ls, ps et netstat. Pour détecter ces rootkits, il est recommandé d’utiliser des binaires statiques tels que BusyBox, qui ne dépendent pas des bibliothèques dynamiques et incluent tout le code nécessaire en interne, les rendant ainsi immunisés contre l’interception des bibliothèques. ...

L’article publié par Aqua Nautilus dévoile Koske, un malware Linux sophistiqué qui utilise des techniques innovantes pour contourner les défenses traditionnelles. Ce malware montre des signes de développement assisté par IA, probablement avec l’aide d’un grand modèle de langage. Koske exploite une instance JupyterLab mal configurée pour obtenir un accès initial, en téléchargeant des images JPEG malveillantes via des URL raccourcies. Ces images sont des fichiers polyglottes, contenant des charges utiles malveillantes qui sont extraites et exécutées en mémoire, échappant ainsi aux outils antivirus. ...

Selon un article publié par BleepingComputer, un nouveau malware Linux nommé Koske a été découvert. Ce malware aurait été développé en utilisant l’intelligence artificielle et exploite des images JPEG apparemment inoffensives de pandas pour déployer du code malveillant directement dans la mémoire système. Le malware Koske utilise une technique sophistiquée consistant à cacher du code malveillant dans des fichiers d’images, une méthode connue sous le nom de stéganographie. Cette approche permet au malware de passer inaperçu par de nombreux systèmes de détection traditionnels qui ne vérifient pas le contenu des fichiers multimédias. ...

En juillet 2025, une alerte a été diffusée concernant le ransomware Interlock, observé pour la première fois en septembre 2024. Ce malware cible principalement des entreprises et des infrastructures critiques en Amérique du Nord et en Europe. Le FBI a souligné que les acteurs derrière Interlock choisissent leurs victimes en fonction des opportunités, avec une motivation principalement financière. Ce ransomware est notable pour ses encryptors capables de chiffrer des machines virtuelles sur les systèmes d’exploitation Windows et Linux. ...

L’article analyse le ransomware Secp0, apparu début 2025, qui a initialement été mal compris comme un groupe d’extorsion de divulgation de vulnérabilités, mais qui fonctionne en réalité comme un ransomware traditionnel à double extorsion, chiffrant les données tout en menaçant de les divulguer publiquement. Secp0 a été identifié pour la première fois en février 2025 et a revendiqué sa première victime en mars 2025, une entreprise IT américaine, en compromettant des données et en chiffrant des serveurs. En mai 2025, Secp0 a retardé ses publications, citant une file d’attente de sociétés et testant une solution logicielle, probablement la plateforme d’extorsion World Leaks. ...