Gelsemium APT
Gelsemium é um grupo de Ameaça Persistente Avançada (APT) cujas campanhas podem ser rastreadas até 2014. Os criminosos usam uma ampla variedade de malware, incluindo um implante personalizado chamado Gelsevirine. Eles estiveram por trás de vários ataques contra alvos no Oriente Médio e no Leste Asiático, mas o mais notável deles é o ataque à cadeia de suprimentos contra o BigNox. Os criminosos Gelsemium APT se concentram em vários setores - governo, educação, eletrônicos e até organizações religiosas. O objetivo principal de seus ataques é a espionagem de longo prazo e o vazamento de dados das redes comprometidas.
Normalmente, um ataque Gelsemium APT segue um processo de vários estágios. Em última análise, sua infecção termina com a implantação do implante Gelsevirine, que reúne todos os recursos de que os criminosos precisariam para cumprir seus objetivos. No entanto, antes disso, eles podem usar um pequeno conta-gotas de Trojan personalizado (Gelsemine) e um carregador (Gelsenicina) para garantir que a infecção seja concluída sem problemas.
Gelsevirine é de longe a coisa mais interessante vinda dos desenvolvedores que fazem parte do Gelsemium APT. Este implante, denominado internamente como MainPlugin, permite a execução de código remoto, bem como a capacidade de exfiltrar dados para o servidor de comando e controle de forma silenciosa.
Até agora, o Gelsemium APT tem sido relativamente difícil de pesquisar e analisar por especialistas, uma vez que os criminosos têm como alvo um número muito pequeno de vítimas, considerando que estão no campo há mais de sete anos. A análise de seus implantes e infraestrutura mostra pequenas sobreposições com outros grupos APT conhecidos que operam no Leste Asiático e no Oriente Médio. No entanto, não há semelhanças suficientes para determinar se o Gelsemium APT é um subgrupo de um ator de ameaça mais popular.