
Cuídate de WolfsBane, un backdoor de ciberespionaje para Linux
ESET identifica WolfsBane, un nuevo backdoor de ciberespionaje para Linux utilizado por el grupo Gelsemium, marcando una tendencia creciente en amenazas para este sistema operativo.
Investigadores de ESET han identificado múltiples muestras de un backdoor para Linux denominado WolfsBane, atribuido con alta confianza al grupo de amenazas persistentes avanzadas (APT) Gelsemium, alineado con China. Este grupo, activo desde 2014, no había sido vinculado públicamente al uso de malware en sistemas Linux hasta ahora.
El backdoor WolfsBane es la contraparte en Linux de Gelsevirine, un malware previamente utilizado por Gelsemium en sistemas Windows. Su objetivo principal es el ciberespionaje, enfocándose en la obtención de información sensible como datos del sistema, credenciales de usuario y archivos específicos. Estas herramientas están diseñadas para mantener un acceso persistente y ejecutar comandos de manera sigilosa, facilitando una recopilación prolongada de inteligencia mientras evaden la detección.

Tendencia creciente en malware para Linux
La identificación de WolfsBane refleja una tendencia creciente entre los grupos APT de desarrollar malware dirigido a sistemas Linux. Este cambio se atribuye a las mejoras en la seguridad de los sistemas Windows, como el uso generalizado de herramientas de detección y respuesta en endpoints (EDR) y la decisión de Microsoft de desactivar por defecto las macros de Visual Basic para Aplicaciones (VBA). Como resultado, los actores de amenazas están explorando nuevas vías de ataque, centrándose en explotar vulnerabilidades en sistemas expuestos a internet, muchos de los cuales operan con Linux.
Además de WolfsBane, los investigadores de ESET descubrieron otro backdoor para Linux denominado FireWood. Aunque su vinculación con Gelsemium es menos clara, su presencia sugiere la posibilidad de herramientas compartidas entre múltiples grupos APT alineados con China.