ActualitésInformationsTechno

ESET Research découvre la dernière version de Gelsemium

ESET Research a analysé plusieurs campagnes depuis la mi-2020, attribuées au groupe de cyberespionnage Gelsemium, et a pu retracer l’utilisation de la première version de son principal malware, Gelsevirine, jusqu’en 2014.

Au cours de l’enquête, les chercheurs d’ESET ont découvert une nouvelle version de Gelsevirine, une porte dérobée à la fois complexe et modulaire. Les victimes de ses campagnes se trouvent en Asie de l’Est ainsi qu’au Moyen-Orient, et comprennent des gouvernements, des organisations religieuses, des fabricants d’électronique et des universités. À l’heure actuelle, le groupe a réussi à rester le plus souvent sous le radar. Cette étude a été présentée en avant-première lors de la conférence annuelle ESET World cette semaine.

Selon la télémétrie d’ESET, Gelsemium est très ciblé, ne faisant que quelques victimes. Compte tenu de ses moyens, cela permet d’en conclure que le groupe est impliqué dans le cyberespionnage. Il dispose d’un grand nombre de composants adaptables. « Toute la chaîne de Gelsemium peut sembler simple à première vue, mais le nombre exhaustif de configurations, implantées à chaque étape, peut modifier à la volée les paramètres du malware final, ce qui rend son étude plus complexe, » explique Thomas Dupuy, Researcher chez ESET, co-auteur de l’analyse de Gelsemium.

Gelsemium utilise trois composants et un système de plugins, afin d’offrir aux opérateurs un éventail de possibilités pour recueillir des informations : le dropper Gelsemine, le chargeur Gelsenicine et le plugin principal Gelsevirine.

Les chercheurs d’ESET estiment que Gelsemium est à l’origine de l’attaque contre la chaîne d’approvisionnement de BigNox, qui a été précédemment dévoilée sous le nom d’ Operation NightScout. Il s’agit d’une attaque découverte par ESET contre une chaîne d’approvisionnement, qui a compromis le mécanisme de mise à jour de NoxPlayer, un émulateur Android pour PC et Mac de la gamme de produits BigNox comptant plus de 150 millions d’utilisateurs dans le monde. L’enquête a noté un certain chevauchement entre cette attaque et le groupe Gelsemium. Les victimes initialement compromises par cette attaque ont ensuite été infectée par Gelsemine. Parmi les différentes variantes examinées, la « variante 2 » décrite dans cet article présente des similitudes avec le malware Gelsemium.

perlafouine

Informations d'entreprises ou de partenaires

Articles similaires

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Bouton retour en haut de la page