Um estudo feito por pesquisadores da ESET detectou que várias campanhas maliciosas eram de autoria de um grupo de espionagem cibernética chamado Gelsemium. As ameaças começaram a ser analisadas em 2020, e a primeira versão de seu principal malware é datada de 2014. Vítimas destas campanhas são encontradas no Leste Asiático, bem como no Oriente Médio, e incluem governos, organizações religiosas, fabricantes de eletrônicos e universidades.
O Gelsemium é altamente direcionado, com apenas algumas vítimas (de acordo com a telemetria da ESET), e considerando suas capacidades, isso leva à conclusão de que o grupo está envolvido em espionagem cibernética. O grupo possui um grande número de componentes adaptáveis.
“Toda a cadeia do Gelsemium pode parecer simples à primeira vista, mas o número exaustivo de configurações, implementadas em cada estágio, pode modificar a configuração da carga útil final em tempo real, tornando-a mais difícil de entender”, explica o pesquisador da ESET Thomas Dupuy, co-autor da pesquisa Gelsemium.
Os pesquisadores acreditam que o Gelsemium está por trás do ataque à cadeia de suprimentos contra o BigNox, que foi relatado anteriormente como Operação NightScout. Este foi um ataque à cadeia de suprimentos, relatado pela ESET, que comprometeu o mecanismo de atualização do NoxPlayer, um emulador Android para PC e Mac. Uma investigação revelou alguma sobreposição entre este ataque à cadeia de abastecimento e o grupo Gelsemium. Vítimas originalmente comprometidas por aquele ataque à cadeia de suprimentos foram posteriormente comprometidas também pela Gelsemium.
Durante a investigação, a ESET identificou alguns programas maliciosos interessantes que são descritos nas seções a seguir:
• Operação NightScout (BigNox): em janeiro de 2021, a ESET publicou a Operação NightScout; um ataque à cadeia de suprimentos que comprometeu o mecanismo de atualização do NoxPlayer, um emulador Android para PC e Mac, e parte da linha de produtos do BigNox com mais de 150 milhões de usuários em todo o mundo. A investigação revelou uma ligação entre este ataque à cadeia de abastecimento e o grupo Gelsemium.
• OwlProxy: este módulo também vem em duas variantes – versões de 32 bits e 64 bits – e, como resultado, contém uma função para testar a versão do Windows, assim como os componentes do Gelsemium.
• Chrommme: Chrommme é uma porta dos fundos identificada pela ESET no ecossistema Gelsemium. As semelhanças de código com os componentes do Gelsemium são quase inexistentes, mas foram encontrados pequenos indicadores durante a análise que levam a crer que está de alguma forma relacionado ao grupo. O mesmo servidor C&C foi encontrado no Gelsemium e no Chrommme, ambos usam dois servidores C&C.
“O Gelsemium é muito interessante: mostra poucas vítimas (de acordo com nossa telemetria) com um grande número de componentes adaptativos. O sistema de plugins mostra que seus desenvolvedores têm um profundo conhecimento de C ++. Pequenas semelhanças com ferramentas de malware conhecidas lançam luz sobre possíveis relacionamentos com outros grupos e atividades anteriores. Esperamos que esta pesquisa estimule outros pesquisadores a publicar sobre o grupo e revelar mais raízes relacionadas a esta biosfera de malware.”, comentam Thomas Dupuy e Matthieu Faou da equipe de pesquisa da ESET.
