Gelsemium APT

Gelsemium es un grupo de amenazas persistentes avanzadas (APT) cuyas campañas se remontan a 2014. Los delincuentes utilizan una amplia gama de malware, incluido un implante personalizado llamado Gelsevirine. Han estado detrás de varios ataques contra objetivos en el Medio Oriente y Asia Oriental, pero el más notable de ellos es el ataque a la cadena de suministro contra BigNox. Los criminales de Gelsemium APT se enfocan en varios sectores: gobierno, educación, electrónica e incluso organizaciones religiosas. El objetivo principal de sus ataques es el espionaje a largo plazo y la exfiltración de datos de las redes comprometidas.

Normalmente, un ataque de Gelsemium APT sigue un proceso de varias etapas. En última instancia, su infección termina con el despliegue del implante Gelsevirine, que incluye todas las características que los delincuentes necesitarían para lograr sus objetivos. Sin embargo, antes de esto, pueden usar un pequeño gotero troyano personalizado (Gelsemine) y un cargador (Gelsenicine) para asegurarse de que la infección se complete sin problemas.

Gelsevirine es, con mucho, lo más interesante de los desarrolladores que forman parte de Gelsemium APT. Este implante, denominado internamente MainPlugin, permite la ejecución de código remoto, así como la capacidad de exfiltrar datos al servidor de comando y control de forma silenciosa.

Hasta ahora, el Gelsemium APT ha sido relativamente difícil de investigar y analizar por parte de expertos, ya que los criminales han apuntado a un número muy pequeño de víctimas, considerando que han estado en el campo durante más de siete años. El análisis de sus implantes e infraestructura muestra superposiciones menores con otros grupos APT conocidos que operan en Asia Oriental y Medio Oriente. Sin embargo, no hay suficientes similitudes para determinar si Gelsemium APT es un subgrupo de un actor de amenazas más popular.