Peneliti di LevelBlue telah mengidentifikasi varian baru malware SysUpdate yang ditujukan untuk sistem Linux selama keterlibatan forensik digital dan respons insiden. Malware ini menyamar sebagai layanan sistem yang sah dan menggunakan enkripsi canggih untuk komunikasi command-and-control. Dengan reverse-engineering, tim menciptakan alat untuk mendekripsi lalu lintasnya lebih cepat.
Selama keterlibatan forensik digital dan respons insiden (DFIR), peneliti di LevelBlue menemukan varian baru malware SysUpdate yang secara khusus menargetkan sistem Linux. Temuan ini dilaporkan pada 19 Februari 2026. Sampel malware muncul sebagai binari ELF64 yang dikemas ditulis dalam C++, dinamis terhubung tanpa header section, dan dilindungi oleh packer ofuski yang tidak diketahui. nnUntuk meniru layanan sistem yang sah, malware menjalankan perintah Linux 'id' dan menampilkan detail pengguna saat diluncurkan tanpa argumen khusus. Aktivitas jaringannya mencakup komunikasi command-and-control (C2) terenkripsi melalui berbagai protokol. Analisis menghubungkan varian ini dengan SysUpdate asli, yang sebelumnya terkait dengan kelompok APT27, juga dikenal sebagai Iron Tiger. nnTim LevelBlue menggunakan alat seperti Binary Ninja untuk dekompilasi, GDB untuk debugging, dan Unicorn Engine dengan binding Rust untuk emulasi. Analisis statis mengungkap konstanta kriptografi dan operasi bitwise padat, dengan fungsi kunci termasuk 'generate_key'—yang melakukan 64 iterasi melalui 'generate_key_internal'—'xor_and_UNK_1' untuk enkripsi dan dekripsi menggunakan XOR dengan kunci pada buffer selaras 8-byte, dan 'i_am_clearly_encryption_UNK' yang menampilkan data seperti S-box dan konstanta seperti 0xf0f0f0f. nnUntuk melawan enkripsi C2, peneliti mengemulasikan rutinitas malware menggunakan Unicorn Engine, memetakan segmen memori asli termasuk stack di 0x7ffffffde000, data tidak diketahui di 0x4fd000, heap di 0x1393000, dan segmen kode. Mereka menggunakan kunci plaintext “!2#4Wx62” untuk menghasilkan kunci 132-byte yang disimpan sebagai 'gend_key.bin'. Emulator dekripsi menangani input terenkripsi dari lalu lintas, seperti payload 168-byte, berhasil mendekripsi data C2 dengan menjalankan rutinitas seperti 'xor_and_UNK_1' dengan flag dekripsi. nnLevelBlue mencatat bahwa pendekatan ini memungkinkan dekripsi cepat dalam insiden langsung tanpa reverse engineering lengkap, secara efektif menggunakan kode penyerang melawan dirinya sendiri. Evolusi SysUpdate ke Linux menekankan ancaman lintas platform dari kelompok seperti Iron Tiger. Organisasi disarankan untuk mengawasi binari ELF anomali yang meniru layanan dan aliran jaringan terenkripsi yang tidak biasa.
