Gelsemium APT

Gelsemium is een Advanced Persistent Threat (APT)-groep waarvan de campagnes terug te voeren zijn tot 2014. De criminelen gebruiken een breed scala aan malware, waaronder een op maat gemaakt implantaat genaamd Gelsevirine. Ze zaten achter verschillende aanvallen op doelen in het Midden-Oosten en Oost-Azië, maar de meest opvallende daarvan is de aanval in de toeleveringsketen tegen BigNox. De Gelsemium APT-criminelen richten zich op verschillende sectoren: overheid, onderwijs, elektronica en zelfs religieuze organisaties. Het primaire doel van hun aanvallen is langdurige spionage en data-exfiltratie van de gecompromitteerde netwerken.

Gewoonlijk volgt een Gelsemium APT-aanval een proces in meerdere fasen. Uiteindelijk eindigt de infectie met de inzet van het Gelsevirine-implantaat, dat alle functies bevat die de criminelen nodig hebben om hun doelen te bereiken. Voorafgaand hieraan kunnen ze echter een kleine, aangepaste Trojaanse dropper (Gelsemine) en loader (Gelsenicine) gebruiken om ervoor te zorgen dat de infectie probleemloos verloopt.

Gelsevirine is verreweg het meest interessante dat afkomstig is van de ontwikkelaars die deel uitmaken van de Gelsemium APT. Dit implantaat, intern MainPlugin genoemd, maakt de uitvoering van externe code mogelijk, evenals de mogelijkheid om gegevens geruisloos naar de Command-and-Control-server te exfiltreren.

Tot dusver was de Gelsemium APT relatief moeilijk te onderzoeken en te analyseren door experts, aangezien de criminelen het op een zeer klein aantal slachtoffers hebben gericht, aangezien ze al meer dan zeven jaar in het veld zijn. Analyse van hun implantaten en infrastructuur toont kleine overlappingen met andere bekende APT-groepen die actief zijn in Oost-Azië en het Midden-Oosten. Er zijn echter niet genoeg overeenkomsten om te bepalen of de Gelsemium APT een subgroep is van een meer populaire dreigingsactor.