Los investigadores de LevelBlue han identificado una nueva variante del malware SysUpdate dirigida a sistemas Linux durante una intervención de forense digital y respuesta a incidentes. El malware se hace pasar por un servicio del sistema legítimo y utiliza cifrado avanzado para las comunicaciones de comando y control. Al hacer ingeniería inversa, el equipo creó herramientas para descifrar su tráfico de manera más rápida.
Durante una intervención de forense digital y respuesta a incidentes (DFIR), los investigadores de LevelBlue descubrieron una nueva variante del malware SysUpdate específicamente dirigida a sistemas Linux. Este hallazgo se reportó el 19 de febrero de 2026. La muestra de malware se presenta como un binario ELF64 empaquetado escrito en C++, enlazado dinámicamente sin cabeceras de sección y protegido por un empaquetador ofuscado desconocido. nnPara imitar un servicio del sistema legítimo, el malware ejecuta el comando 'id' de Linux y muestra detalles del usuario cuando se lanza sin argumentos específicos. Su actividad de red incluye comunicaciones cifradas de comando y control (C2) a través de múltiples protocolos. El análisis vinculó esta variante con el SysUpdate original, previamente relacionado con el grupo APT27, también conocido como Iron Tiger. nnEl equipo de LevelBlue utilizó herramientas como Binary Ninja para descompilación, GDB para depuración y el Unicorn Engine con enlaces en Rust para emulación. El análisis estático reveló constantes criptográficas y operaciones bitwise densas, con funciones clave como 'generate_key' —que realiza 64 iteraciones a través de 'generate_key_internal'— 'xor_and_UNK_1' para cifrado y descifrado usando XOR con claves en búferes alineados a 8 bytes, e 'i_am_clearly_encryption_UNK' con datos similares a S-box y constantes como 0xf0f0f0f. nnPara contrarrestar el cifrado C2, los investigadores emularon las rutinas del malware usando el Unicorn Engine, mapeando segmentos de memoria originales incluyendo pila en 0x7ffffffde000, datos desconocidos en 0x4fd000, montón en 0x1393000 y segmentos de código. Utilizaron una clave en texto plano de “!2#4Wx62” para generar una clave de 132 bytes guardada como 'gend_key.bin'. El emulador de descifrado manejó entradas cifradas del tráfico, como cargas útiles de 168 bytes, descifrando exitosamente datos C2 ejecutando rutinas como 'xor_and_UNK_1' con una bandera de descifrado. nnLevelBlue señaló que este enfoque permite un descifrado rápido en incidentes en vivo sin ingeniería inversa completa, utilizando efectivamente el código del adversario contra sí mismo. La evolución de SysUpdate a Linux subraya las amenazas multiplataforma de grupos como Iron Tiger. Se aconseja a las organizaciones vigilar binarios ELF anómalos que imitan servicios y flujos de red cifrados inusuales.
