Des chercheurs de LevelBlue ont identifié une nouvelle variante du malware SysUpdate visant les systèmes Linux lors d'une mission de forensic numérique et de réponse aux incidents. Le malware se déguise en service système légitime et utilise un chiffrement avancé pour les communications de commandement et de contrôle. En effectuant une ingénierie inverse, l'équipe a créé des outils pour déchiffrer son trafic plus rapidement.
Lors d'une mission de forensic numérique et de réponse aux incidents (DFIR), des chercheurs de LevelBlue ont découvert une nouvelle variante du malware SysUpdate spécifiquement ciblant les systèmes Linux. Cette découverte a été rapportée le 19 février 2026. L'échantillon de malware se présente comme un binaire ELF64 compacté écrit en C++, lié dynamiquement sans en-têtes de section et protégé par un packer obfusqué inconnu. nnPour imiter un service système légitime, le malware exécute la commande Linux 'id' et affiche les détails de l'utilisateur lorsqu'il est lancé sans arguments spécifiques. Son activité réseau inclut des communications de commandement et de contrôle (C2) chiffrées sur plusieurs protocoles. L'analyse a lié cette variante à l'original SysUpdate, précédemment associé au groupe APT27, également connu sous le nom d'Iron Tiger. nnL'équipe de LevelBlue a utilisé des outils tels que Binary Ninja pour la décompilation, GDB pour le débogage et l'Unicorn Engine avec des liaisons Rust pour l'émulation. L'analyse statique a révélé des constantes cryptographiques et des opérations bitwise denses, avec des fonctions clés incluant 'generate_key'—qui effectue 64 itérations via 'generate_key_internal'—'xor_and_UNK_1' pour le chiffrement et le déchiffrement utilisant XOR avec des clés sur des buffers alignés à 8 octets, et 'i_am_clearly_encryption_UNK' présentant des données similaires à une S-box et des constantes comme 0xf0f0f0f. nnPour contrer le chiffrement C2, les chercheurs ont émulé les routines du malware à l'aide de l'Unicorn Engine, en mappant les segments de mémoire originaux incluant la pile à 0x7ffffffde000, des données inconnues à 0x4fd000, le tas à 0x1393000 et les segments de code. Ils ont utilisé une clé en clair « !2#4Wx62 » pour générer une clé de 132 octets sauvegardée sous 'gend_key.bin'. L'émulateur de déchiffrement a traité des entrées chiffrées du trafic, telles que des charges utiles de 168 octets, déchiffrant avec succès les données C2 en exécutant des routines comme 'xor_and_UNK_1' avec un drapeau de déchiffrement. nnLevelBlue a noté que cette approche permet un déchiffrement rapide lors d'incidents en direct sans ingénierie inverse complète, utilisant efficacement le code de l'adversaire contre lui-même. L'évolution de SysUpdate vers Linux souligne les menaces multiplateformes de groupes comme Iron Tiger. Les organisations sont invitées à surveiller les binaires ELF anormaux qui imitent les services et les flux réseau chiffrés inhabituels.
