Gelsemium APT
Gelsemium est un groupe de menaces persistantes avancées (APT) dont les campagnes remontent à 2014. Les criminels utilisent un large éventail de logiciels malveillants, y compris un implant sur mesure appelé Gelsevirine. Ils ont été à l'origine de plusieurs attaques contre des cibles au Moyen-Orient et en Asie de l'Est, mais la plus notable d'entre elles est l'attaque de la chaîne d'approvisionnement contre BigNox. Les criminels Gelsemium APT se concentrent sur plusieurs secteurs – gouvernement, éducation, électronique et même organisations religieuses. L'objectif principal de leurs attaques est l'espionnage à long terme et l'exfiltration de données des réseaux compromis.
En règle générale, une attaque Gelsemium APT suit un processus en plusieurs étapes. En fin de compte, son infection se termine par le déploiement de l'implant Gelsevirine, qui contient toutes les fonctionnalités dont les criminels auraient besoin pour atteindre leurs objectifs. Cependant, avant cela, ils peuvent utiliser un petit compte-gouttes de Troie personnalisé (Gelsemine) et un chargeur (Gelsenicine) pour s'assurer que l'infection se termine sans accroc.
Gelsevirine est de loin la chose la plus intéressante à venir des développeurs qui font partie de l'APT Gelsemium. Cet implant, appelé en interne MainPlugin, permet l'exécution de code à distance, ainsi que la possibilité d'exfiltrer des données vers le serveur Command-and-Control en silence.
Jusqu'à présent, l'APT Gelsemium a été relativement difficile à rechercher et à analyser par les experts car les criminels ont ciblé un très petit nombre de victimes, étant donné qu'ils sont sur le terrain depuis plus de sept ans. L'analyse de leurs implants et de leur infrastructure montre des chevauchements mineurs avec d'autres groupes APT connus opérant en Asie de l'Est et au Moyen-Orient. Cependant, il n'y a pas suffisamment de similitudes pour déterminer si le Gelsemium APT est un sous-groupe d'un acteur de menace plus populaire.