Gelsemium APT

Gelsemium ist eine Advanced Persistent Threat (APT)-Gruppe, deren Kampagnen bis ins Jahr 2014 zurückverfolgt werden können. Die Kriminellen verwenden eine breite Palette von Malware, darunter ein speziell angefertigtes Implantat namens Gelsevirine. Sie standen hinter mehreren Angriffen auf Ziele im Nahen Osten und in Ostasien, aber der bemerkenswerteste von ihnen ist der Angriff auf die Lieferkette gegen BigNox. Die Gelsemium APT-Kriminellen konzentrieren sich auf mehrere Sektoren – Regierung, Bildung, Elektronik und sogar religiöse Organisationen. Das primäre Ziel ihrer Angriffe ist die langfristige Spionage und Datenexfiltration aus den kompromittierten Netzwerken.

Typischerweise folgt ein Gelsemium-APT-Angriff einem mehrstufigen Prozess. Letztendlich endet seine Infektion mit dem Einsatz des Gelsevirin-Implantats, das alle Funktionen enthält, die die Kriminellen benötigen, um ihre Ziele zu erreichen. Zuvor können sie jedoch einen kleinen, benutzerdefinierten Trojaner-Dropper (Gelsemine) und Loader (Gelsenicine) verwenden, um sicherzustellen, dass die Infektion reibungslos abläuft.

Gelsevirin ist bei weitem das Interessanteste, was von den Entwicklern von Gelsemium APT kommt. Dieses Implantat, intern als MainPlugin bezeichnet, ermöglicht die Ausführung von Remote-Code sowie die Fähigkeit, Daten stillschweigend auf den Command-and-Control-Server zu übertragen.

Bisher war die Gelsemium-APT von Experten relativ schwer zu recherchieren und zu analysieren, da die Kriminellen eine sehr kleine Anzahl von Opfern ins Visier genommen haben, wenn man bedenkt, dass sie seit über sieben Jahren im Feld sind. Die Analyse ihrer Implantate und Infrastruktur zeigt geringfügige Überschneidungen mit anderen bekannten APT-Gruppen, die in Ostasien und im Nahen Osten tätig sind. Es gibt jedoch nicht genügend Ähnlichkeiten, um festzustellen, ob Gelsemium APT eine Untergruppe eines populäreren Bedrohungsakteurs ist.