Il gruppo di minacce informatiche noto come Lucky Mouse ha sviluppato una versione Linux del malware chiamato SysUpdate, aumentando la sua capacità di attaccare dispositivi che utilizzano il sistema operativo. La nuova versione del malware risale a luglio 2022 e include nuove funzionalità progettate per evitare i software di sicurezza e resistere all’ingegneria inversa. Lucky Mouse, noto anche come APT27, Bronze Union, Emissary Panda e Iron Tiger, utilizza diversi tipi di malware, tra cui SysUpdate, HyperBro, PlugX e una backdoor Linux chiamata rshell.
Il gruppo ha condotto campagne di attacco negli ultimi due anni, utilizzando compromissioni della catena di approvvigionamento di app legittime per ottenere accesso remoto ai sistemi compromessi. La campagna più recente mira a un’azienda di gioco d’azzardo nelle Filippine, un settore che è stato ripetutamente colpito da Iron Tiger dal 2019. La nuova versione di SysUpdate per Windows è in grado di gestire processi, scattare screenshot, eseguire operazioni sui file e comunicare con i server C2 attraverso richieste DNS TXT. La versione Linux è scritta in C++ e utilizza la libreria Asio per le funzioni di gestione dei file, suggerendo che l’attaccante stia cercando di aggiungere il supporto cross-platform per il malware. Inoltre, il malware include uno strumento personalizzato per rubare le password e i cookie di Chrome. Secondo il ricercatore di sicurezza Daniel Lunghi, questa scoperta conferma l’interesse di Iron Tiger per l’industria del gioco d’azzardo e la regione del Sud-Est asiatico.
