Gelsemium APT
Gelsemium è un gruppo Advanced Persistent Threat (APT) le cui campagne risalgono al 2014. I criminali utilizzano una vasta gamma di malware, tra cui un impianto personalizzato chiamato Gelsevirine. Sono stati dietro a diversi attacchi contro obiettivi in Medio Oriente e in Asia orientale, ma il più notevole di questi è l'attacco alla catena di approvvigionamento contro BigNox. I criminali di Gelsemium APT si concentrano su diversi settori: governo, istruzione, elettronica e persino organizzazioni religiose. L'obiettivo principale dei loro attacchi è lo spionaggio a lungo termine e l'esfiltrazione dei dati dalle reti compromesse.
In genere, un attacco Gelsemium APT segue un processo a più fasi. Alla fine, la sua infezione termina con il dispiegamento dell'impianto Gelsevirine, che racchiude tutte le funzionalità di cui i criminali avrebbero bisogno per raggiungere i loro obiettivi. Tuttavia, prima di ciò, possono utilizzare un piccolo contagocce Trojan personalizzato (Gelsemine) e un caricatore (Gelsenicine) per garantire che l'infezione si completi senza intoppi.
Gelsevirine è di gran lunga la cosa più interessante proveniente dagli sviluppatori che fanno parte dell'APT Gelsemium. Questo impianto, denominato internamente MainPlugin, consente l'esecuzione di codice remoto, nonché la capacità di esfiltrare i dati nel server Command-and-Control in modo silenzioso.
Finora, il Gelsemium APT è stato relativamente difficile da ricercare e analizzare da parte di esperti poiché i criminali hanno preso di mira un numero molto ridotto di vittime, considerando che sono sul campo da oltre sette anni. L'analisi dei loro impianti e infrastrutture mostra piccole sovrapposizioni con altri noti gruppi APT che operano nell'Asia orientale e nel Medio Oriente. Tuttavia, non ci sono abbastanza somiglianze per determinare se l'APT Gelsemium è un sottogruppo di un attore di minacce più popolare.