Pesquisadores da LevelBlue identificaram uma nova variante do malware SysUpdate direcionada a sistemas Linux durante um engajamento de forense digital e resposta a incidentes. O malware se disfarça como um serviço de sistema legítimo e emprega criptografia avançada para comunicações de comando e controle. Ao fazer engenharia reversa, a equipe criou ferramentas para descriptografar seu tráfego mais rapidamente.
Durante um engajamento de forense digital e resposta a incidentes (DFIR), pesquisadores da LevelBlue descobriram uma nova variante do malware SysUpdate especificamente direcionada a sistemas Linux. Essa descoberta foi relatada em 19 de fevereiro de 2026. A amostra de malware se apresenta como um binário ELF64 compactado escrito em C++, ligado dinamicamente sem cabeçalhos de seção e protegido por um packer ofuscado desconhecido. nnPara imitar um serviço de sistema legítimo, o malware executa o comando Linux 'id' e exibe detalhes do usuário quando lançado sem argumentos específicos. Sua atividade de rede inclui comunicações de comando e controle (C2) criptografadas sobre múltiplos protocolos. A análise ligou essa variante ao SysUpdate original, anteriormente associado ao grupo APT27, também conhecido como Iron Tiger. nnA equipe da LevelBlue empregou ferramentas como Binary Ninja para descompilação, GDB para depuração e o Unicorn Engine com bindings em Rust para emulação. A análise estática revelou constantes criptográficas e operações bitwise densas, com funções chave incluindo 'generate_key'—que realiza 64 iterações via 'generate_key_internal'—'xor_and_UNK_1' para criptografia e descriptografia usando XOR com chaves em buffers alinhados a 8 bytes, e 'i_am_clearly_encryption_UNK' apresentando dados semelhantes a S-box e constantes como 0xf0f0f0f. nnPara combater a criptografia C2, os pesquisadores emularam as rotinas do malware usando o Unicorn Engine, mapeando segmentos de memória originais incluindo pilha em 0x7ffffffde000, dados desconhecidos em 0x4fd000, heap em 0x1393000 e segmentos de código. Eles usaram uma chave plaintext de “!2#4Wx62” para gerar uma chave de 132 bytes salva como 'gend_key.bin'. O emulador de descriptografia lidou com entradas criptografadas do tráfego, como payloads de 168 bytes, descriptografando com sucesso dados C2 executando rotinas como 'xor_and_UNK_1' com uma flag de descriptografia. nnA LevelBlue observou que essa abordagem permite descriptografia rápida em incidentes ao vivo sem engenharia reversa completa, usando efetivamente o código do adversário contra si mesmo. A evolução do SysUpdate para Linux destaca ameaças multiplataforma de grupos como Iron Tiger. As organizações são aconselhadas a monitorar binários ELF anômalos que imitam serviços e fluxos de rede criptografados incomuns.
