Harvester introduce la variante Linux del backdoor GoGra, utilizzando l’infrastruttura Microsoft Graph e caselle Outlook come canale di comando e controllo stealth. Il malware consente l’esecuzione remota di comandi shell e l’esfiltrazione crittografata dei dati senza server C2 dedicati. L’uso di servizi legittimi rende il traffico indistinguibile da attività aziendale normale. La campagna, osservata nel 2026, segna un’evoluzione significativa nelle tecniche di spionaggio su sistemi Linux.
Cosa leggere
Harvester espande il toolkit con la variante Linux di GoGra
Il gruppo Harvester, attivo dal 2021 e associato a operazioni di cyber spionaggio, amplia le proprie capacità introducendo GoGra Linux dopo aver utilizzato la versione Windows contro organizzazioni mediatiche. I campioni analizzati mostrano una forte coerenza tra le due versioni, inclusi errori di codice identici e la stessa implementazione crittografica. Questo indica uno sviluppo centralizzato e mirato. La nuova variante permette al gruppo di colpire anche server e infrastrutture Linux presenti in settori critici come telecomunicazioni, governi e aziende IT.
Dropper in Go distribuisce file ELF camuffati da PDF
L’infezione avviene tramite un dropper scritto in Go che distribuisce un file ELF mascherato da documento PDF. Gli aggressori sfruttano tecniche di social engineering con nomi file realistici per indurre l’utente all’esecuzione. Il sistema interpreta comunque il file come eseguibile Linux nonostante l’apparenza. Durante l’avvio, il dropper mostra un documento reale per evitare sospetti, mentre in background installa il backdoor. Questo approccio combina ingegneria sociale e tecniche di evasione per aumentare il tasso di successo dell’infezione.
Persistenza tramite systemd e falsa identità Conky
Una volta eseguito, GoGra stabilisce la persistenza sfruttando meccanismi nativi di Linux. Il malware crea un servizio systemd a livello utente e aggiunge una voce autostart che si presenta come il monitor di sistema Conky. Questo consente al backdoor di avviarsi automaticamente a ogni login senza attirare attenzione. L’uso di componenti legittimi del sistema operativo rende difficile distinguere il malware da processi normali, aumentando la durata della compromissione.
Comunicazione C2 nascosta tramite Microsoft Graph e Outlook
Il backdoor utilizza l’API Microsoft Graph per comunicare con caselle Outlook controllate dagli attaccanti. Il malware autentica tramite credenziali Azure AD incorporate e interroga periodicamente la casella di posta alla ricerca di messaggi con istruzioni. I comandi vengono codificati, criptati e inviati come email con oggetti specifici. Dopo l’esecuzione tramite shell, i risultati vengono cifrati e restituiti nello stesso modo. Il messaggio originale viene eliminato per ridurre le tracce forensi. Questo metodo elimina la necessità di server C2 tradizionali e sfrutta infrastrutture affidabili per nascondere il traffico malevolo.
Esecuzione remota e capacità operative del malware
GoGra Linux consente agli operatori di eseguire qualsiasi comando shell sul sistema compromesso. Non include moduli avanzati di raccolta dati, ma funge da piattaforma per distribuire ulteriori strumenti o eseguire attività manuali. L’approccio modulare permette agli attaccanti di adattare l’operazione in base al target. L’auto-cancellazione dei messaggi di comando riduce la possibilità di analisi forense, rendendo più difficile ricostruire la catena di attacco.
Impatto su infrastrutture Linux e ambienti enterprise
La diffusione della variante Linux amplia significativamente la superficie di attacco di Harvester. Le infrastrutture enterprise basate su Linux, spesso considerate più sicure rispetto ai sistemi desktop, diventano bersagli diretti. L’uso di servizi legittimi come Microsoft Graph rende inefficaci molti sistemi di difesa basati su analisi del traffico. Le organizzazioni rischiano accessi persistenti e invisibili, con possibilità di escalation e movimento laterale all’interno della rete.
Tecniche stealth rendono difficile il rilevamento
| Funzionalità (Feature) | Variante Linux | Variante Windows |
|---|---|---|
| Architettura OS Target | Utilizza un dropper x86-64 e un payload i386 | Utilizza una DLL x64 |
| Package Go Interno | OUTLOOKCLIENT/services | NEWCLIENT/services |
| Intervallo di Beaconing | Attesa fissa e uniforme di 2 secondi | Attesa di 5 minuti alla ricezione di una risposta HTTP 204 |
| Cartella Mailbox Target | Zomato Pizza | Dragan Dash |
| Chiave di Cifratura AES | b14ca5898a4e4133bbce2ea2315a1916 | b14ca5898a4e4133bbce2ea2315a1916 |
Analisi delle varianti: Pur mostrando differenze sostanziali nei package Go interni, nel comportamento di beaconing e nei target operativi specifici, l’utilizzo della medesima chiave di cifratura AES conferma in modo inequivocabile la matrice comune di queste due minacce.
L’uso di canali di comunicazione legittimi, combinato con persistenza tramite systemd, consente al malware di operare senza generare anomalie evidenti. Il traffico verso Microsoft appare normale e non viene bloccato dai controlli tradizionali. Anche la cancellazione dei messaggi riduce la disponibilità di indicatori di compromissione. Questo rende necessario l’utilizzo di sistemi di monitoraggio avanzati e analisi comportamentale per individuare attività sospette.
Raccomandazioni per mitigare il rischio
Le organizzazioni devono adottare misure immediate per ridurre il rischio. È fondamentale monitorare file eseguibili sospetti camuffati da documenti, verificare servizi systemd non autorizzati e controllare le voci di avvio automatico. L’analisi dell’uso anomalo delle API Microsoft Graph può aiutare a identificare comportamenti sospetti. La rotazione delle credenziali Azure AD e l’abilitazione di log avanzati sulle caselle Outlook rappresentano passi essenziali per il contenimento. Un approccio proattivo alla sicurezza è necessario per contrastare minacce sempre più sofisticate.
Evoluzione delle minacce APT verso infrastrutture cloud integrate
Il caso GoGra Linux dimostra come i gruppi APT stiano evolvendo verso tecniche che combinano malware tradizionale e servizi cloud legittimi. L’integrazione tra sistemi locali e piattaforme cloud crea nuove superfici di attacco difficili da proteggere. La capacità di nascondere comunicazioni malevole all’interno di infrastrutture affidabili rappresenta una sfida significativa per la sicurezza moderna. Gli attacchi di Harvester indicano una tendenza destinata a crescere nei prossimi anni.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
