Gelsemium APT

Gelsemium er en Advanced Persistent Threat-gruppe (APT) -gruppe hvis kampanjer kan spores tilbake til 2014. Kriminelle bruker et bredt spekter av skadelig programvare, inkludert et spesialbygd implantat kalt Gelsevirine. De har stått bak flere angrep mot mål i Midt-Østen og Øst-Asia, men den mest bemerkelsesverdige av dem er forsyningskjedeangrepet mot BigNox. Gelsemium APT-kriminelle fokuserer på flere sektorer - myndigheter, utdanning, elektronikk og til og med religiøse organisasjoner. Det primære målet for angrepene deres er langsiktig spionasje og dataeksfiltrering fra de kompromitterte nettverkene.

Vanligvis følger et Gelsemium APT-angrep en flerstegsprosess. Til slutt ender infeksjonen med utrullingen av Gelsevirine-implantatet, som inneholder alle funksjonene som kriminelle trenger for å oppnå sine mål. Før dette kan de imidlertid bruke en liten, tilpasset trojansk dropper (Gelsemine) og laster (Gelsenicine) for å sikre at infeksjonen fullføres uten problemer.

Gelsevirine er uten tvil det mest interessante å komme fra utviklerne som er en del av Gelsemium APT. Dette implantatet, referert til som MainPlugin internt, muliggjør kjøring av ekstern kode, samt muligheten til å exfiltrere data til Command-and-Control-serveren stille.

Så langt har Gelsemium APT vært relativt vanskelig å undersøke og analysere av eksperter, siden de kriminelle har målrettet mot et veldig lite antall ofre, med tanke på at de har vært i feltet i over syv år. Analyse av implantater og infrastruktur viser mindre overlapp med andre kjente APT-grupper som opererer i Øst-Asia og Midt-Østen. Imidlertid er det ikke nok likheter for å avgjøre om Gelsemium APT er en undergruppe av en mer populær trusselsaktør.