Malware Linux

Selon Check Point Research, VoidLink est un framework malware « cloud-first » pour Linux, repéré en décembre 2025, en cours d’évolution rapide et attribué à des développeurs affiliés à la Chine (affiliation exacte incertaine). Les échantillons observés contiennent des artefacts de développement, une architecture modulaire ambitieuse et une documentation suggérant un usage commercial potentiel, sans preuve d’infections en conditions réelles à la date de publication. • Vue d’ensemble 🐧☁️: VoidLink est un implant écrit en Zig, pensé pour les environnements modernes (AWS, GCP, Azure, Alibaba, Tencent) et capable de détecter Docker/Kubernetes pour adapter son comportement. Il collecte des métadonnées cloud, profile le système/hyperviseur et cible aussi des éléments tels que les identifiants de dépôt Git, indiquant un intérêt possible pour les postes d’ingénieurs et la chaîne d’approvisionnement. Objectif principal: accès furtif et durable, surveillance et exfiltration de données. ...

Selon Nextron Systems, une campagne sophistiquée attribuée à APT36, rappelant les tactiques d’Operation Sindoor, vise des organisations indiennes via des pièces jointes .desktop piégées se faisant passer pour des PDF, afin de prendre le contrôle à distance de systèmes Linux. • Nature de l’attaque 🎣: des e‑mails de spear‑phishing livrent des fichiers .desktop malveillants qui déclenchent une infection en plusieurs étapes, aboutissant à l’installation de MeshAgent pour un accès à distance complet, la surveillance et l’exfiltration de données. ...

Selon PolySwarm, des chercheurs ont analysé ‘Plague’, un backdoor Linux sophistiqué qui s’intègre au flux d’authentification en se faisant passer pour un module PAM légitime, afin de fournir un accès SSH persistant et un contournement de l’authentification. L’échantillon se présente comme libselinux.so.8 et persiste discrètement avec très peu de traces forensiques tout en survivant aux mises à jour système. Le malware exploite des mots de passe statiques pour une entrée clandestine (ex. ‘Mvi4Odm6tld7’ et ‘changeme’), et met en place des capacités de furtivité comme la désactivation de variables SSH et la redirection de l’historique shell (HISTFILE) vers /dev/null. 🐧🔐 ...

Selon Picus Security, RingReaper est un malware Linux post‑exploitation sophistiqué qui s’appuie sur l’interface io_uring du noyau pour échapper aux solutions EDR, en limitant l’usage des appels système traditionnels et en se concentrant sur des opérations asynchrones discrètes. Le logiciel malveillant réalise des actions de reconnaissance et de collecte de données, procède à l’élévation de privilèges et met en place des mécanismes de dissimulation d’artefacts, le tout en minimisant l’empreinte de détection classique. ...