تم ربط نوع جديد من البرامج الضارة المخصصة لخوادم Linux بمجموعة قرصنة صينية لم يتم تحديدها بعد ويشتبه في حصولها على دعم مالي من الدولة.
اكتشفت شركة ExaTrack ، المتخصصة في الأمن السيبراني ، مؤخرًا ثلاثة أمثلة لبرنامج ضار موثق سابقًا باسم Mélofée. تم تأريخ هذه العينات من بداية عام 2022.
يهدف أحد الكائنات إلى إطلاق مجموعة rootkit استنادًا إلى Reptile ، وهو مشروع مفتوح المصدر يعمل في وضع kernel.
ذكرت المنظمة في تقرير أن rootkit تمت برمجته خصيصًا لإصدار kernel 5.10.112-108.499.amzn2.x86_64 ، كما يتضح من البيانات الوصفية vermagic. إمكانيات الجذور الخفية محدودة ، مع الوظيفة الأساسية لتثبيت خطاف الإخفاء.
يتم استخدام استخدام أوامر shell لتنزيل برنامج تثبيت وحزمة ثنائية مميزة من خادم بعيد لكل من الغرسة والجذور الخفية.
يختار الشخص الذي يقوم بتثبيت البرنامج الحزمة الثنائية ، والتي تُستخدم بعد ذلك لاسترداد كل من rootkit ووحدة غرس الخادم التي لا تزال قيد التحسين.
تتشابه خصائص Mélofée مع خصائص الأبواب الخلفية الأخرى التي تسمح لها بالاتصال بخادم بعيد والحصول على أوامر لإجراء عمليات الملفات ، وإنشاء الاتصالات ، وبدء القشرة ، وتنفيذ أي إجراءات.
يعتمد اتصال البرامج الضارة بالصين على أوجه التشابه في البنية التحتية مع مجموعات أخرى مثل APT41 (المعروف أيضًا باسم Winnti) و Earth Berberoka (المعروف أيضًا باسم GamblingPuppet).
منذ عام 2020 على الأقل ، ركزت مجموعة خبيثة مدعومة من قبل الحكومة على مواقع المقامرة في الصين. استخدم هؤلاء المهاجمون ، الذين يطلق عليهم اسم Earth Berberoka ، العديد من البرامج الضارة مثل HelloBot و Pupy RAT عبر منصات مختلفة.
أفادت شركة Trend Micro بأن بعض حالات الوصول عن بعد لـ Pupy Trojan ، والتي تمت كتابتها بلغة Python ، أصبحت غير محسوسة باستخدام Reptile rootkit.