Gelsemium APT
A Gelsemium egy fejlett tartós fenyegetés (APT) csoport, amelynek kampányai 2014-re vezethetők vissza. A bűnözők sokféle rosszindulatú programot használnak, beleértve a Gelsevirine nevű, egyedi gyártású implantátumot is. Több támadás mögött álltak a Közel-Keleten és Kelet-Ázsiában található célpontok ellen, de ezek közül a legjelentősebb a BigNox elleni ellátási lánc támadás. A Gelsemium APT bűnözői több ágazatra összpontosítanak - a kormányzatra, az oktatásra, az elektronikára és még a vallási szervezetekre is. Támadásaik elsődleges célja a hosszú távú kémkedés és az adatok kiszűrése a veszélyeztetett hálózatokból.
Általában a Gelsemium APT támadása többlépcsős folyamatot követ. Végső soron a fertőzése a Gelsevirine implantátum telepítésével ér véget, amely minden olyan tulajdonságot tartalmaz, amelyre a bűnözőknek céljaik eléréséhez szükségük lenne. Ezt megelőzően azonban használhatnak egy kisméretű, egyedi trójai csepegtetőt (Gelsemine) és betöltőt (Gelsenicine) annak biztosítására, hogy a fertőzés gond nélkül teljes legyen.
A Gelsevirine messze a legérdekesebb dolog, amelyet a Gelsemium APT-hez tartozó fejlesztők kaphatnak. Ez az implantátum, amelyet belsőleg MainPlugin-ként emlegetnek, lehetővé teszi a távoli kód futtatását, valamint az adatok csendes kiszűrését a Command-and-Control szerverre.
Eddig a Gelsemium APT-t viszonylag nehéz volt kutatni és elemezni a szakértők által, mivel a bűnözők nagyon kis számú áldozatot céloztak meg, tekintve, hogy több mint hét éve vannak a helyszínen. Implantátumuk és infrastruktúrájuk elemzése kisebb átfedéseket mutat más ismert Kelet-Ázsiában és a Közel-Keleten működő APT-csoportokkal. Azonban nincs elég hasonlóság annak megállapításához, hogy a Gelsemium APT egy népszerűbb fenyegetési szereplő alcsoportja.