Gli attori delle minacce stanno utilizzando un rootkit open-source chiamato Reptile per prendere di mira i sistemi Linux in Corea del Sud. A differenza di altri malware rootkit che tipicamente forniscono solo capacità di occultamento, Reptile va un passo oltre offrendo una shell inversa, permettendo agli attori delle minacce di prendere facilmente il controllo dei sistemi.
Le caratteristiche di Reptile Rootkit
Reptile utilizza un metodo chiamato “port knocking”, svelato da AhnLab, in cui il malware apre una specifica porta su un sistema infetto e rimane in standby. Quando l’attore della minaccia invia un pacchetto magico al sistema, il pacchetto ricevuto viene utilizzato come base per stabilire una connessione con il server C&C. Un rootkit è un programma software malevolo progettato per fornire accesso privilegiato, a livello di root, a una macchina, mentre nasconde la sua presenza.
Le campagne che hanno sfruttato Reptile
Almeno quattro diverse campagne hanno sfruttato Reptile dal 2022. Il primo utilizzo del rootkit è stato registrato da Trend Micro nel maggio 2022 in relazione a un insieme di intrusioni tracciate come Earth Berberoka (alias GamblingPuppet), che è stato trovato ad utilizzare il malware per nascondere connessioni e processi relativi a un trojan Python cross-platform noto come Pupy RAT in attacchi mirati a siti di gioco in Cina.
L’uso di Reptile da parte di gruppi di hacking
Nel marzo 2023, Mandiant di Google ha dettagliato una serie di attacchi montati da un sospetto attore minaccioso collegato alla Cina soprannominato UNC3886 che ha utilizzato vulnerabilità zero-day negli apparecchi Fortinet per distribuire una serie di impianti personalizzati oltre a Reptile. ExaTrack, nello stesso mese, ha rivelato l’uso di un malware Linux chiamato Mélofée da parte di un gruppo di hacking cinese, basato su Reptile. Infine, nel giugno 2023, un’operazione di cryptojacking scoperta da Microsoft ha utilizzato una backdoor di script di shell per scaricare Reptile al fine di oscurare i suoi processi figlio, i file o il loro contenuto.