Forskare på LevelBlue har identifierat en ny variant av SysUpdate-malwaren som riktar sig mot Linux-system under ett digitalt forensiskt och incidenthanteringsuppdrag. Malwaren utger sig för att vara en legitim systemtjänst och använder avancerad kryptering för kommando- och kontrollkommunikation. Genom reverse engineering skapade teamet verktyg för att dekryptera dess trafik snabbare.
Under ett digitalt forensiskt och incidenthanteringsuppdrag (DFIR) upptäckte forskare på LevelBlue en ny variant av SysUpdate-malwaren som specifikt riktar sig mot Linux-system. Detta fynd rapporterades den 19 februari 2026. Malwareprovet framträder som en packad ELF64-binär skriven i C++, dynamiskt länkad utan sektionshuvuden och skyddad av en okänd ofuskerad packer. nnFör att efterlikna en legitim systemtjänst kör malwaren Linux-kommandot 'id' och visar användardetaljer när den startas utan specifika argument. Dess nätverksaktivitet inkluderar krypterad kommando- och kontrollkommunikation (C2) över flera protokoll. Analysen kopplade denna variant till den ursprungliga SysUpdate, som tidigare kopplats till APT27-gruppen, även känd som Iron Tiger. nnLevelBlue-teamet använde verktyg som Binary Ninja för dekompilering, GDB för felsökning och Unicorn Engine med Rust-bindningar för emulering. Statisk analys avslöjade kryptografiska konstanter och täta bitvisa operationer, med nyckelfunktioner inklusive 'generate_key'—som utför 64 iterationer via 'generate_key_internal'—'xor_and_UNK_1' för kryptering och dekryptering med XOR och nycklar på 8-byte justerade buffertar, samt 'i_am_clearly_encryption_UNK' med S-box-liknande data och konstanter som 0xf0f0f0f. nnFör att motverka C2-kryptering emulerade forskarna malwarens rutiner med Unicorn Engine och mappade originalminnessegment inklusive stack vid 0x7ffffffde000, okänd data vid 0x4fd000, heap vid 0x1393000 och kodsegment. De använde en klartextnyckel ”!2#4Wx62” för att generera en 132-byte nyckel sparad som 'gend_key.bin'. Dekrypteringemulatorn hanterade krypterade indata från trafik, såsom 168-byte payloads, och dekrypterade C2-data framgångsrikt genom att köra rutiner som 'xor_and_UNK_1' med en dekrypteringsflagga. nnLevelBlue noterade att denna metod möjliggör snabb dekryptering i live-incidenter utan fullständig reverse engineering, och effektivt använder motståndarens kod mot sig själv. SysUpdates utveckling till Linux understryker plattformsövergripande hot från grupper som Iron Tiger. Organisationer rekommenderas att bevaka anomal ELF-binärer som efterliknar tjänster och ovanliga krypterade nätverksflöden.
