باحثون يكتشفون variante جديدة من برمجية التجسس SysUpdate تستهدف لينكس

خلال مهمة تحقيقات رقمية واستجابة لحوادث (DFIR)، اكتشف باحثو LevelBlue variante جديدة من برمجية التجسس SysUpdate تستهدف أنظمة لينكس تحديداً. تم الإبلاغ عن هذا الاكتشاف في 19 فبراير 2026. تظهر عينة البرمجية كملف تنفيذي ELF64 مضغوط مكتوب بلغة C++، مرتبط ديناميكياً بدون رؤوس أقسام، ومحمي بحزمة تشويش غير معروفة. nnلفي محاكاة خدمة نظام شرعية، تنفذ البرمجية أمر لينكس 'id' وتعرض تفاصيل المستخدم عند التشغيل بدون وسائط محددة. تشمل نشاطها الشبكي اتصالات مشفرة للتحكم والأوامر (C2) عبر بروتوكولات متعددة. ربط التحليل هذه النسخة بالـ SysUpdate الأصلي، الذي ارتبط سابقاً بمجموعة APT27، المعروفة أيضاً باسم Iron Tiger. nnاستخدم فريق LevelBlue أدوات مثل Binary Ninja لفك التركيب، GDB لتصحيح الأخطاء، ومحرك Unicorn مع روابط Rust للمحاكاة. كشف التحليل الثابتي عن ثوابت تشفير وعمليات بتية كثيفة، مع وظائف رئيسية تشمل 'generate_key'—التي تقوم بـ64 تكراراً عبر 'generate_key_internal'—'xor_and_UNK_1' للتشفير والفك عبر XOR مع مفاتيح على مخازن محاذاة 8 بايت، و'i_am_clearly_encryption_UNK' التي تحتوي على بيانات مشابهة لـ S-box وثوابت مثل 0xf0f0f0f. nnلفي مواجهة التشفير C2، قام الباحثون بمحاكاة روتين البرمجية باستخدام محرك Unicorn، مع رسم أجزاء الذاكرة الأصلية بما في ذلك المكدس في 0x7ffffffde000، بيانات غير معروفة في 0x4fd000، الكومة في 0x1393000، وأجزاء الكود. استخدموا مفتاحاً نصياً صافياً “!2#4Wx62” لتوليد مفتاح 132 بايت محفوظ كـ 'gend_key.bin'. تعامل معجل الفك المدخلات المشفرة من الحركة، مثل حمولات 168 بايت، وفك تشفير بيانات C2 بنجاح بتنفيذ روتينات مثل 'xor_and_UNK_1' مع علامة فك تشفير. nnأشار LevelBlue إلى أن هذا النهج يمكن التشفير السريع في الحوادث الحية دون هندسة عكسية كاملة، مستخدماً كود الخصم ضد نفسه بفعالية. تبرز تطور SysUpdate إلى لينكس التهديدات عبر المنصات من مجموعات مثل Iron Tiger. يُنصح المنظمات بمراقبة الملفات التنفيذية ELF الشاذة التي تحاكي الخدمات والتدفقات الشبكية المشفرة غير العادية.