A mediados de 2020 investigadores de ESET, compañía líder en detección proactiva de amenazas, comenzaron a analizar múltiples campañas, que luego fueron atribuidas al grupo de ciberespionaje Gelsemium, y rastrearon la primera versión de su principal malware que se remonta a 2014. Las víctimas de estas campañas se encuentran en el este de Asia, así como en el Medio Oriente, e incluyen gobiernos, organizaciones religiosas, fabricantes de productos electrónicos y universidades.
Gelsemium está muy dirigido, con solo unas pocas víctimas (según la telemetría de ESET), y considerando sus capacidades, esto apunta a la conclusión de que el grupo está involucrado en el ciberespionaje. El grupo tiene una gran cantidad de componentes adaptables. «Toda la cadena de Gelsemium puede parecer simple a primera vista, pero el número exhaustivo de configuraciones, implantadas en cada etapa, puede modificar la configuración sobre la marcha de la carga útil final, lo que hace que sea más difícil de entender«, explica el investigador de ESET Thomas Dupuy, co -autor de la investigación Gelsemium.
Los investigadores de ESET creen que Gelsemium está detrás del ataque a la cadena de suministro contra BigNox que se informó anteriormente como Operación NightScout. Este fue un ataque a la cadena de suministro, informado por ESET, que comprometió el mecanismo de actualización de NoxPlayer, un emulador de Android para PC y Mac, y parte de la gama de productos de BigNox, con más de 150 millones de usuarios en todo el mundo. La investigación descubrió cierta superposición entre este ataque a la cadena de suministro y el grupo Gelsemium. Las víctimas originalmente comprometidas por ese ataque a la cadena de suministro luego fueron comprometidas por Gelsemine. Entre las diferentes variantes examinadas, la «variante 2» del artículo muestra similitudes con el malware Gelsemium.
Distribución geográfica de los blancos de ataque de Gelsemium:
Durante la investigación desde ESET identificaron algunos programas maliciosos interesantes que se describen en las siguientes secciones.
- Operación NightScout (BigNox): en enero de 2021, ESET publicó Operación NightScout; un ataque de cadena de suministro que comprometió el mecanismo de actualización de NoxPlayer, un emulador de Android para PC y Mac, y parte de la gama de productos de BigNox con más de 150 millones de usuarios en todo el mundo. La investigación reveló cierta relación entre este ataque de cadena de suministro y el grupo Gelsemium.
- OwlProxy: este módulo también viene en dos variantes – versiones de 32 y 64 bits – y como resultado contiene una función para probar la versión de Windows al igual que en los componentes de Gelsemium.
- Chrommme: Chrommme es un backdoor identificado por ESET en el ecosistema Gelsemium. Las similitudes de código con los componentes de Gelsemium son casi inexistentes, pero se encontraron pequeños indicadores durante el análisis que llevan a creer que de alguna manera está relacionado con el grupo. Se encontró el mismo servidor C&C tanto en Gelsevirine como en Chrommme, ambos utilizan dos servidores C&C. Chrommme se encontró en la máquina de una organización también comprometida por el grupo Gelsemium.
“El bioma Gelsemium es muy interesante: muestra pocas víctimas (según nuestra telemetría) con una gran cantidad de componentes adaptables. El sistema de plugins muestra que sus desarrolladores tienen un conocimiento profundo de C++. Pequeñas similitudes con herramientas de malware conocidas arrojan luz sobre posibles relaciones con otros grupos y actividades pasadas. Esperamos que esta investigación impulse a otros investigadores a publicar sobre el grupo y revelar más raíces relacionadas con esta biosfera de malware.”, comentan Thomas Dupuy y Matthieu Faou, del equipo de ESET.
Para acceder al whitepaper completo ingrese a: Gelsemium
De manera de conocer más sobre seguridad informática ingrese al portal de noticias de ESET: https://www.welivesecurity.com/la-es/2021/06/09/gelsemium-malware-complejo-modular-utilizado-grupo-cibersespionaje/
