LevelBlueの研究者らは、デジタルフォレンジックおよびインシデント対応の業務中に、Linuxシステムを狙ったSysUpdateマルウェアの新亜種を特定した。このマルウェアは正当なシステムサービスを装い、コマンドアンドコントロール通信に高度な暗号化を使用する。リバースエンジニアリングにより、チームはトラフィックの復号を迅速化するツールを作成した。
デジタルフォレンジックおよびインシデント対応(DFIR)業務中に、LevelBlueの研究者らはLinuxシステムを特化して標的とするSysUpdateマルウェアの新亜種を発見した。この発見は2026年2月19日に報告された。マルウェアサンプルは、C++で記述されたパックされたELF64バイナリで、セクションヘッダーなしのダイナミックリンク、未知の難読化パッカーにより保護されている。 nn正当なシステムサービスを模倣するため、マルウェアは特定引数なしで起動するとLinuxの'id'コマンドを実行し、ユーザ詳細を表示する。そのネットワーク活動には、複数のプロトコルによる暗号化されたコマンドアンドコントロール(C2)通信が含まれる。分析により、この亜種はAPT27グループ(別名Iron Tiger)に関連する元のSysUpdateと結びつけられた。 nnLevelBlueチームは、Binary Ninjaによる逆コンパイル、GDBによるデバッグ、Rustバインディング付きUnicorn Engineによるエミュレーションなどのツールを使用した。静的解析では、暗号定数と密なビット演算が明らかになり、キー関数として「generate_key」(「generate_key_internal」を経由して64イテレーション実行)、「xor_and_UNK_1」(8バイトアラインされたバッファ上でキーとXORによる暗号化/復号)、「i_am_clearly_encryption_UNK」(S-box様データと0xf0f0f0fなどの定数を含む)が含まれる。 nnC2暗号化に対抗するため、研究者らはUnicorn Engineを使用してマルウェアのルーチンをエミュレートし、スタック(0x7ffffffde000)、未知データ(0x4fd000)、ヒープ(0x1393000)、コードセグメントなどのオリジナルメモリセグメントをマッピングした。プレーンテキストキー「!2#4Wx62」を使用して132バイトのキー('gend_key.bin'として保存)を生成。復号エミュレータはトラフィックからの暗号化入力(例: 168バイトペイロード)を処理し、「xor_and_UNK_1」などのルーチンを復号フラグで実行してC2データを正常に復号した。 nnLevelBlueは、この手法により完全なリバースエンジニアリングなしにライブインシデントで迅速な復号が可能であり、敵のコードを自身に利用する効果的な方法だと指摘した。SysUpdateのLinux進化はIron Tigerのようなグループのクロスプラットフォーム脅威を強調する。組織はサービスを模倣する異常なELFバイナリと異常な暗号化ネットワークフローを監視するよう推奨される。
