Cyberespionnage contre les gouvernements avec Gelsemium

ESET Research découvre la dernière version de Gelsemium

Gelsemium targets’ locations

Gelsemium targets’ locations

Cyberespionnage contre les gouvernements et d'autres cibles en Asie

Depuis la mi-2020, ESET Research a analysé plusieurs campagnes d’attaques, attribuées dernièrement au groupe de cyberespionnage Gelsemium, et a retrouvé la première version de leur principal malware, Gelsevirine, dès 2014. Au cours de l'enquête , les chercheurs d'ESET ont découvert une nouvelle version de Gelsevirine, une porte dérobée à la fois complexe et modulaire. Les victimes de ses campagnes se trouvent en Asie de l'Est ainsi qu'au Moyen-Orient et comprennent des gouvernements, des organisations religieuses, des fabricants d'électronique et des universités. À l'heure actuelle, le groupe a réussi à rester principalement sous le radar. Cette recherche a été présentée en exclusivité lors de la conférence annuelle ESET World qui s’est tenue à Bratislava cette semaine.

Un groupe impliqué dans le cyberespionnage

Gelsemium est très ciblé – avec seulement quelques victimes, selon la télémétrie ESET – et compte tenu de ses capacités, cela permet de conclure que le groupe est impliqué dans le cyberespionnage. Le groupe dispose d'un grand nombre de composants adaptables.

Pour Thomas Dupuy, chercheur chez ESET, co-auteur de l'analyse de recherche Gelsemium:

« L'ensemble de la chaîne Gelsemium peut paraître simple à première vue, mais le nombre exhaustif de configurations, implantées à chaque étape, peut modifier à la volée les paramètres de la charge utile finale, ce qui la rend plus difficile à comprendre ».

Gelsemium utilise trois composants et un système de plug-in pour offrir aux opérateurs un éventail de possibilités de collecte d'informations :

Gesemium: the 3 components

Gesemium: the 3 components

  • le compte-gouttes Gelsemine,

  • le chargeur Gelsenicine,

  • le plug-in principal Gelsevirine.

Les chercheurs d'ESET pensent que Gelsemium est à l'origine de l'attaque de la chaîne d'approvisionnement contre BigNox qui était auparavant signalée sous le nom d'Opération NightScout. Il s'agissait d'une attaque de la chaîne d'approvisionnement, signalée par ESET, qui a compromis le mécanisme de mise à jour de NoxPlayer, un émulateur Android pour PC et Mac, et une partie de la gamme de produits de BigNox, avec plus de 150 millions d'utilisateurs dans le monde.

L'enquête a révélé un chevauchement entre cette attaque de la chaîne d'approvisionnement et le groupe Gelsemium. Les victimes initialement compromises par cette attaque de la chaîne d'approvisionnement ont ensuite été compromises par Gelsemine.

Parmi les différentes variantes examinées, la « variante 2 » de l'article ci-après présente des similitudes avec le malware Gelsemium: https://www.welivesecurity.com/2021/02/01/operation-nightscout-supply-chain-attack-online-gaming-asia

For more technical details about Gelsemium, read the blogpost “Gelsemium: when threat actors go gardening” on WeLiveSecurity: https://www.welivesecurity.com/2021/06/09/gelsemium-when-threat-actors-go-gardening

Crédits photos: ESET