Un acteur de menace chinois, connu sous le nom de Earth Lusca, a été récemment observé par Trend Micro, ciblant plusieurs gouvernements à travers le monde avec un nouveau backdoor Linux. Active depuis le début de l'année, cette organisation se concentre principalement sur des entités gouvernementales en Asie du Sud-Est, en Asie Centrale, dans les Balkans et ailleurs, avec une appétence particulière pour les affaires étrangères, les technologies et les télécommunications. L'objectif déclaré d'Earth Lusca semble être l'espionnage.
Pour compromettre les terminaux de leurs cibles, le groupe a utilisé plusieurs failles d'exécution de code à distance non authentifiées, pour la plupart découvertes et résolues entre 2019 et 2022. Grâce à ces failles, ils ont déployé des balises Cobalt Strike, utilisées par la suite pour déployer un nouveau backdoor Linux nommé SprySOCKS.
SprySOCKS n'est pas entièrement nouveau cependant. Son code est un mélange de plusieurs autres variantes de malware, notamment le malware open-source Trochilus pour Windows, un backdoor pour ce même OS appelé RedLeaves, et Derusbi, qui est un malware Linux. Ses fonctionnalités clés comprennent la collecte d'informations système, le démarrage d'un shell interactif en utilisant le sous-système PTY, la liste des connexions réseau, la gestion des configurations proxy SOCKS, ainsi que des capacités plus courantes comme le téléchargement et l'upload de fichiers.
En plus de SprySOCKS, le groupe a également été aperçu en train de déployer un injecteur Linux ELF appelé "mandibule". Mandibule a lui-même été modifié, mais de manière relativement brouillonne car les chercheurs ont découvert des messages de débogage et des symboles restants, indiquant que les développeurs ne prêtaient pas vraiment attention.
Contrairement à Mandibule, SprySOCKS est activement développé, ont conclu les chercheurs. Ils ont réussi à obtenir deux versions du backdoor, y compris v1.1 et v.1.3.6. La meilleure façon de se protéger contre de telles menaces est de veiller à ce que tous les points de terminaison soient régulièrement patchés.