<!DOCTYPE html> <html lang="es"> <head> <meta charset="utf-8"> <meta name="viewport" content="width=device-width, initial-scale=1"> <link rel="canonical" href="https://www.welivesecurity.com/es/investigaciones/analisis-wolfsbane-nuevo-backdoor-linux-grupo-apt-gelsemiun/"><title>Análisis de WolfsBane: un nuevo backdoor para Linux del grupo APT Gelsemiun</title><meta content="article" property="og:type"><meta content="Análisis de WolfsBane: un nuevo backdoor para Linux del grupo APT Gelsemiun" property="og:title"><meta content="Análisis de WolfsBane: un nuevo backdoor para Linux del grupo APT Gelsemiun" property="og:description"><meta name="robots" content="index, follow, max-image-preview:large, max-video-preview:-1"><meta name="description" content="Investigadores de ESET analizan backdoors para Linux relacionados con un conocido malware para Windows utilizado por el grupo APT Gelsemium y al Project Wood."><meta name="twitter:description" content="Investigadores de ESET analizan backdoors para Linux relacionados con un conocido malware para Windows utilizado por el grupo APT Gelsemium y al Project Wood."><meta name="twitter:title" content="Análisis de WolfsBane: un nuevo backdoor para Linux del grupo APT Gelsemiun"> <!-- Preloading resources --> <link rel="preload" href="https://www.welivesecurity.com/build/assets/FedraSansAltPro-BookLF-405f3258.woff" as="font" type="font/woff" crossorigin> <link rel="preload" href="https://www.welivesecurity.com/build/assets/FedraSansAltPro-BoldLF-31f4bc72.woff" as="font" type="font/woff" crossorigin> <link rel="preload" href="https://www.welivesecurity.com/build/assets/FedraSansAltPro-DemiLF-8885b886.woff" as="font" type="font/woff" crossorigin> <link rel="preload" href="https://web-assets.esetstatic.com/tn/-x266/wls/2024/11-2024/wolfsbane/wolfsbane-gelsemium-gelsevirine-linux.jpeg" as="image" media="(max-width: 768px)"> <link rel="preload" href="https://web-assets.esetstatic.com/tn/-x425/wls/2024/11-2024/wolfsbane/wolfsbane-gelsemium-gelsevirine-linux.jpeg" as="image" media="(min-width: 768.1px)"> <link rel="modulepreload" href="https://www.welivesecurity.com/build/assets/article-header-995fa639.js" /><script type="module" src="https://www.welivesecurity.com/build/assets/article-header-995fa639.js"></script> <script> window.addEventListener('pageLoaded', () => { window.dispatchEvent(new CustomEvent('postPageViewed', { detail: { 'id': 18342, 'publicationId': 30937, 'name': 'Análisis de WolfsBane: un nuevo backdoor para Linux del grupo APT Gelsemiun', 'author': 'Viktor Šperka', 'category': 'Investigaciones', 'section': null, 'branch': 'es', 'date': '2024/11/21' } })); }); </script> <!-- Google Tag Manager --> <script type="module"> window.addEventListener("pageLoaded", () => { (function(w,d,s,l,i){w[l]=w[l]||[];w[l].push({'gtm.start': new Date().getTime(),event:'gtm.js'});var f=d.getElementsByTagName(s)[0], j=d.createElement(s),dl=l!='dataLayer'?'&l='+l:'';j.async=true;j.src= '//www.googletagmanager.com/gtm.js?id='+i+dl;f.parentNode.insertBefore(j,f); })(window,document,'script','dataLayer','GTM-PMDGSM'); }); </script> <!-- End Google Tag Manager --> <script type="module"> window.dispatchEvent(new CustomEvent("pageLoaded")); </script> <!-- Styles --> <link rel="preload" as="style" href="https://www.welivesecurity.com/build/assets/app-22f82615.css" /><link rel="stylesheet" href="https://www.welivesecurity.com/build/assets/app-22f82615.css" /> <!-- Others --> <script> window.$current_language = JSON.parse('{"id":2,"code":"es","name":"Espa\u00f1ol","is_pblic":true,"is_active":true,"is_default":false,"is_rtl":false}'); </script> <script>(window.BOOMR_mq=window.BOOMR_mq||[]).push(["addVar",{"rua.upush":"false","rua.cpush":"false","rua.upre":"false","rua.cpre":"false","rua.uprl":"false","rua.cprl":"false","rua.cprf":"false","rua.trans":"","rua.cook":"false","rua.ims":"false","rua.ufprl":"false","rua.cfprl":"false","rua.isuxp":"false","rua.texp":"norulematch","rua.ceh":"false","rua.ueh":"false","rua.ieh.st":"0"}]);</script> <script>!function(e){var n="https://s.go-mpulse.net/boomerang/";if("False"=="True")e.BOOMR_config=e.BOOMR_config||{},e.BOOMR_config.PageParams=e.BOOMR_config.PageParams||{},e.BOOMR_config.PageParams.pci=!0,n="https://s2.go-mpulse.net/boomerang/";if(window.BOOMR_API_key="7R9SM-QGSYF-QDLJK-UETXR-SPM6B",function(){function e(){if(!o){var e=document.createElement("script");e.id="boomr-scr-as",e.src=window.BOOMR.url,e.async=!0,i.parentNode.appendChild(e),o=!0}}function t(e){o=!0;var n,t,a,r,d=document,O=window;if(window.BOOMR.snippetMethod=e?"if":"i",t=function(e,n){var t=d.createElement("script");t.id=n||"boomr-if-as",t.src=window.BOOMR.url,BOOMR_lstart=(new Date).getTime(),e=e||d.body,e.appendChild(t)},!window.addEventListener&&window.attachEvent&&navigator.userAgent.match(/MSIE [67]\./))return window.BOOMR.snippetMethod="s",void t(i.parentNode,"boomr-async");a=document.createElement("IFRAME"),a.src="about:blank",a.title="",a.role="presentation",a.loading="eager",r=(a.frameElement||a).style,r.width=0,r.height=0,r.border=0,r.display="none",i.parentNode.appendChild(a);try{O=a.contentWindow,d=O.document.open()}catch(_){n=document.domain,a.src="javascript:var d=document.open();d.domain='"+n+"';void(0);",O=a.contentWindow,d=O.document.open()}if(n)d._boomrl=function(){this.domain=n,t()},d.write("<bo"+"dy onload='document._boomrl();'>");else if(O._boomrl=function(){t()},O.addEventListener)O.addEventListener("load",O._boomrl,!1);else if(O.attachEvent)O.attachEvent("onload",O._boomrl);d.close()}function a(e){window.BOOMR_onload=e&&e.timeStamp||(new Date).getTime()}if(!window.BOOMR||!window.BOOMR.version&&!window.BOOMR.snippetExecuted){window.BOOMR=window.BOOMR||{},window.BOOMR.snippetStart=(new Date).getTime(),window.BOOMR.snippetExecuted=!0,window.BOOMR.snippetVersion=12,window.BOOMR.url=n+"7R9SM-QGSYF-QDLJK-UETXR-SPM6B";var i=document.currentScript||document.getElementsByTagName("script")[0],o=!1,r=document.createElement("link");if(r.relList&&"function"==typeof r.relList.supports&&r.relList.supports("preload")&&"as"in r)window.BOOMR.snippetMethod="p",r.href=window.BOOMR.url,r.rel="preload",r.as="script",r.addEventListener("load",e),r.addEventListener("error",function(){t(!0)}),setTimeout(function(){if(!o)t(!0)},3e3),BOOMR_lstart=(new Date).getTime(),i.parentNode.appendChild(r);else t(!1);if(window.addEventListener)window.addEventListener("load",a,!1);else if(window.attachEvent)window.attachEvent("onload",a)}}(),"".length>0)if(e&&"performance"in e&&e.performance&&"function"==typeof e.performance.setResourceTimingBufferSize)e.performance.setResourceTimingBufferSize();!function(){if(BOOMR=e.BOOMR||{},BOOMR.plugins=BOOMR.plugins||{},!BOOMR.plugins.AK){var n=""=="true"?1:0,t="",a="bdpnbeqxfxh2kz2dqhca-f-cf4d9cf08-clientnsv4-s.akamaihd.net",i="false"=="true"?2:1,o={"ak.v":"39","ak.cp":"1251022","ak.ai":parseInt("757730",10),"ak.ol":"0","ak.cr":1,"ak.ipv":4,"ak.proto":"http/1.1","ak.rid":"caf2b6c0","ak.r":49026,"ak.a2":n,"ak.m":"","ak.n":"ff","ak.bpcip":"8.222.208.0","ak.cport":38452,"ak.gh":"23.45.206.165","ak.quicv":"","ak.tlsv":"tls1.2","ak.0rtt":"","ak.0rtt.ed":"","ak.csrc":"-","ak.acc":"reno","ak.t":"1732477380","ak.ak":"hOBiQwZUYzCg5VSAfCLimQ==PlUs1Q/8RrYDvCRxY+gugGDIZEsbkse2l6Mq0YPzgKFFiwsyRt/DKavDx0vhBNalnzpXckfMjL6AgjIhXltncO9ke4VRShnonPfT1S27Rp41QXvv6zD7telsYX4TabuXAwACxDdXDgXlkLvme+izLk5HvKMcv3MaOabhg/ntG5eL2wTZAhSuuDoxECQI5dLseSbkgwPyR/jxyfeTDKzOBluQhnXULvdymiOs74ZySBITnF9MigpcTrpWuz/54lNQgnRCoQFGBGRcDneaLEI62BD5m9CPqcAcUGLhJE9Ct1mPS/uuMMAEh9l/qzhxfpuJkK4w35bHEuLMr7HbNKzdUzJEUnBUbzxFlJLKxLvBfjeBuxwpgxagmz+c9PC5DSr60FtyEXEyS8sRNmyTvdhxnaUYpy1YdmHiKdRdYVCETuM=","ak.pv":"20","ak.dpoabenc":"","ak.tf":i};if(""!==t)o["ak.ruds"]=t;var r={i:!1,av:function(n){var t="http.initiator";if(n&&(!n[t]||"spa_hard"===n[t]))o["ak.feo"]=void 0!==e.aFeoApplied?1:0,BOOMR.addVar(o)},rv:function(){var e=["ak.bpcip","ak.cport","ak.cr","ak.csrc","ak.gh","ak.ipv","ak.m","ak.n","ak.ol","ak.proto","ak.quicv","ak.tlsv","ak.0rtt","ak.0rtt.ed","ak.r","ak.acc","ak.t","ak.tf"];BOOMR.removeVar(e)}};BOOMR.plugins.AK={akVars:o,akDNSPreFetchDomain:a,init:function(){if(!r.i){var e=BOOMR.subscribe;e("before_beacon",r.av,null,null),e("onbeacon",r.rv,null,null),r.i=!0}return this},is_complete:function(){return!0}}}}()}(window);</script></head> <body> <!-- Google Tag Manager (noscript) --> <noscript> <iframe src=https://www.googletagmanager.com/ns.html?id=GTM-PMDGSM height="0" width="0" style="display:none;visibility:hidden"></iframe> </noscript> <!-- End Google Tag Manager (noscript) --> <div id="app" > <!-- navbar --> <header id="wls-nav-header" class="wls-header navbar sticky-top navbar-expand-lg has-shadow"> <div class="container first-line"> <a class="header-brand" href="/es/" title="WeLiveSecurity"> <?xml version="1.0" encoding="UTF-8"?><svg id="Layer_2" xmlns="http://www.w3.org/2000/svg" viewBox="0 0 290 31.7919"><defs><style>.cls-1{fill:#0b8690;}.cls-2{fill:#053b44;}</style></defs><g id="Layer_1-2"><g><path class="cls-2" d="M0,8.6081H5.1069l2.869,10.7299,3.3282-10.845h4.3616l3.3833,10.845,2.9261-10.7879h4.9947l-5.51,17.8465h-4.5336l-3.3833-10.903-3.5012,10.903H5.451L0,8.6081Zm26.6257,9.0093h0c0-5.1069,3.6153-9.2964,8.7792-9.2964,5.9102,0,8.6651,4.5907,8.6651,9.6405,0,.4021-.057,.8603-.057,1.3195h-12.3955c.3233,2.123,2.219,3.6443,4.3616,3.5003,1.6303,.0269,3.1951-.6409,4.3036-1.8367l2.8729,2.5259c-1.7441,2.1958-4.4284,3.4313-7.2306,3.3282-4.9064,.227-9.0678-3.5664-9.2947-8.4728-.0109-.236-.0124-.4724-.0045-.7085Zm12.5095-1.4916c-.29-2.2378-1.6066-3.7874-3.7303-3.7874s-3.4432,1.4916-3.8444,3.7874h7.5747Zm57.842,7.9179l2.1266-3.3282c1.5999,1.2513,3.5393,1.9923,5.566,2.1267,1.4345,0,2.1266-.5162,2.1266-1.3195v-.057c0-1.0904-1.7216-1.4345-3.6733-2.0658-2.4679-.7463-5.2789-1.8937-5.2789-5.3369v-.057c0-3.6153,2.9261-5.6231,6.4843-5.6231,2.3553,.0234,4.6511,.742,6.5994,2.0658l-1.8937,3.5003c-1.4459-.9422-3.1015-1.5139-4.8207-1.6646-1.2054,0-1.8366,.5162-1.8366,1.2054v.057c0,.9754,1.6646,1.4345,3.6153,2.1267,2.4679,.8033,5.3369,2.0087,5.3369,5.2789v.057c0,3.9633-2.9261,5.7381-6.7666,5.7381-2.7543-.0573-5.4158-1.006-7.5854-2.7037Zm15.4356-6.4264h0c0-5.1069,3.6153-9.2964,8.7792-9.2964,5.9102,0,8.6651,4.5907,8.6651,9.6405,0,.4021-.057,.8603-.057,1.3195h-12.3375c.3233,2.123,2.219,3.6443,4.3616,3.5003,1.6303,.0269,3.1951-.6409,4.3036-1.8367l2.869,2.5249c-1.744,2.1959-4.4283,3.4315-7.2306,3.3282-5.3901,.001-9.3534-3.7835-9.3534-9.1804Zm12.5095-1.4916c-.29-2.2378-1.6066-3.7874-3.7303-3.7874s-3.4432,1.4916-3.8444,3.7874h7.5747Zm6.1412,1.4906h0c-.0992-5.0349,3.9019-9.197,8.9368-9.2964h.3596c2.6878-.1539,5.2947,.9485,7.0566,2.9841l-3.0991,3.3282c-.9721-1.2277-2.4505-1.9458-4.0165-1.9507-2.5249,0-4.3036,2.2378-4.3036,4.8198v.057c0,2.697,1.7787,4.8778,4.4756,4.8778,1.5606-.0446,3.0342-.7295,4.0745-1.8937l2.9261,2.9841c-1.7686,2.1577-4.4423,3.3673-7.2306,3.2712-5.0035,.0682-9.115-3.9326-9.1832-8.9361,0-.0009,0-.0017,0-.0026,.0026-.0806,.0038-.1614,.0039-.2426Zm17.9606,2.5249V8.6642h5.0498v9.8706c0,2.4099,1.1474,3.6153,3.0411,3.6153s3.1562-1.2054,3.1562-3.6153V8.6071h5.0498V26.3386h-5.0498v-2.5249c-1.1459,1.7743-3.1079,2.8527-5.22,2.869-3.7893,.001-6.0271-2.4669-6.0271-6.5414Zm18.4767-11.5342h5.0498v3.5573c1.0324-2.4679,2.697-4.0165,5.6811-3.9024v5.2789h-.29c-3.3282,0-5.3939,2.0087-5.3939,6.2543v6.5414h-5.047V8.6071Zm12.5666,0h5.0498V26.3386h-5.0498V8.6071Zm8.9561,12.7396V12.9117h-2.1267v-4.3036h2.1267V4.0745h5.0498v4.5336h4.1885v4.3036h-4.1924v7.5747c0,1.1474,.5162,1.7216,1.6066,1.7216,.8637,.0094,1.7148-.2083,2.4679-.6312v4.0165c-1.1964,.7132-2.571,1.0716-3.9633,1.0334-3.0952,.057-5.1571-1.2054-5.1571-5.2799Zm11.4153,9.1813l1.6646-3.6153c.6415,.4009,1.372,.6373,2.1267,.6883,.7821,.0558,1.5071-.4118,1.7787-1.1474l-6.9474-17.7885h5.3369l4.0165,12.1074,3.8444-12.1074h5.22l-6.7666,18.1326c-1.3775,3.6153-2.812,4.9928-5.8531,4.9928-1.5664,.0294-3.1059-.4102-4.4205-1.2625ZM182.4783,1.3195c1.3945,0,2.5249,1.1304,2.5249,2.5249s-1.1304,2.5249-2.5249,2.5249-2.5249-1.1304-2.5249-2.5249,1.1304-2.5249,2.5249-2.5249Zm38.8471,2.754v2.1267h-.6312v-2.1267h-.8603v-.5162h2.3528v.4592h-.8603l-.0009,.057Zm4.0755,2.1238v-1.7796l-.8033,1.7787h-.6312l-.7463-1.7787,.057,.3441v1.3775h-.5732V3.5573h.7463l.8603,2.0658,.9753-2.0658h.6883v2.6399h-.5732Z" /><path class="cls-1" d="M46.2508,2.2378h5.0498V26.3956h-5.0498V2.2378Zm7.9189,6.3693h5.0498V26.3386h-5.0498V8.6071Zm6.5414,0h5.3369l3.9633,11.8783,4.0126-11.8783h5.22l-7.0005,17.8465h-4.5907l-6.9416-17.8465Zm17.9035,9.0102h0c0-5.1069,3.6153-9.2964,8.7792-9.2964,5.9102,0,8.6651,4.5907,8.6651,9.6405,0,.4021-.057,.8603-.057,1.3195h-12.3375c.3232,2.1226,2.2184,3.6438,4.3606,3.5003,1.6303,.0269,3.1951-.6409,4.3036-1.8367l2.869,2.5249c-1.744,2.1959-4.4283,3.4315-7.2306,3.3282-5.3891,.001-9.3524-3.7835-9.3524-9.1804Zm12.5095-1.4916c-.29-2.2378-1.6066-3.7874-3.7294-3.7874s-3.4432,1.4916-3.8444,3.7874h7.5738ZM56.6366,0c-1.7746,0-3.2132,1.4386-3.2132,3.2132,0,1.7746,1.4386,3.2132,3.2132,3.2132,1.7746,0,3.2132-1.4386,3.2132-3.2132h0c-.0188-1.7667-1.4464-3.1943-3.2132-3.2132Zm0,4.5907c-.7567-.0094-1.3677-.6208-1.3765-1.3775-.0202-.7605,.58-1.3933,1.3405-1.4135,.7605-.0202,1.3933,.58,1.4135,1.3405,.0006,.0243,.0006,.0487,0,.073-.0089,.7571-.6204,1.3686-1.3775,1.3775Zm191.3425,4.0213c-2.2021-.0287-4.2611,1.0885-5.4375,2.9502-.9299,1.6095-1.1339,4.233-1.1339,5.9711s.2049,4.3596,1.1339,5.9691c1.1767,1.8615,3.2355,2.9785,5.4375,2.9502h34.4972c2.2018,.0283,4.2603-1.0888,5.4365-2.9502,.928-1.6095,1.1349-4.233,1.1349-5.9711s-.2069-4.3567-1.1349-5.9662c-1.1762-1.8615-3.2347-2.9786-5.4365-2.9502l-34.4972-.0029Zm22.9572,7.9392h2.9v-.0899c0-1.3272-.5326-1.4268-1.4896-1.4268-1.16,0-1.3794,.377-1.4133,1.5167m-20.3859-1.4297c.9512,0,1.4635,.0967,1.4635,1.3997v.0628h-2.8487c.0319-1.1165,.2591-1.4626,1.3852-1.4626m-4.0233,2.463c0,3.1262,.783,4.2533,4.0745,4.2533,1.0071,.0751,2.0175-.0927,2.9464-.4891,.7808-.4894,1.2122-1.3829,1.1097-2.2987h-2.5965c-.0271,.8903-.6322,.9821-1.4626,.9821-1.1996,0-1.4336-.4833-1.4336-1.9788v-.0638h5.4887v-.405c0-3.4123-.9231-4.2668-4.06-4.2668-3.3553,0-4.0745,1.044-4.0745,4.2668m9.8793-1.5621c0,1.6665,.5742,2.4476,4.0735,2.4476,.3744-.0275,.7508,.0097,1.1126,.1102,.2736,.1199,.4021,.3586,.4021,.7927,0,.726-.2658,.8043-1.5128,.8043-.6931,0-1.3987-.0155-1.4307-.9502h-2.6438c.0203,1.8425,.8932,2.4447,2.5085,2.5732,.4882,.0377,1.0188,.0348,1.565,.0348,2.2233,0,4.0735-.3712,4.0735-2.7849,0-2.2997-1.1996-2.463-4.0745-2.5288-1.4268-.0319-1.5109-.3316-1.5109-.8043,0-.5616,.0619-.7405,1.5119-.7405,.5317,0,1.0633,.0474,1.1822,.7086h2.4882v-.3393c0-2.001-2.0967-2.03-3.6733-2.03-2.3625,0-4.0735,.0532-4.0735,2.7066m21.6744-2.7066h6.5018v1.9005h-1.9333v6.525h-2.6274v-6.524h-1.9333l-.0077-1.9014Zm-9.7275,4.2059c0-3.2122,.7086-4.2398,4.0464-4.2398,3.1194,0,4.031,.842,4.031,4.2398v.376h-5.4896v.0909c0,1.4945,.2359,2.0058,1.4587,2.0058,.8226,0,1.45-.0909,1.4896-.9821h2.5413c.0948,.8946-.3269,1.7653-1.0875,2.2456-.9243,.3931-1.9294,.5588-2.9309,.4833-3.276,0-4.0464-1.1088-4.0464-4.2224m-23.7624,5.7874c-1.3214-1.421-1.6134-3.652-1.6134-5.7739s.29-4.35,1.6134-5.7758c1.0333-.9868,2.3994-1.5498,3.828-1.5776h17.7865v14.7048h-17.7865c-1.4285-.0278-2.7946-.5908-3.828-1.5776m43.7423-16.12c.0004-.036-.009-.0714-.0271-.1025-.0116-.0387-.0445-.0628-.086-.0899-.0385-.0194-.0807-.0303-.1237-.0319-.0559-.0087-.1126-.0123-.1692-.0106h-.1508v.5394h.115c.0678,.0013,.1357-.0022,.203-.0106,.0495-.0114,.0968-.0307,.1402-.057,.0317-.0265,.0574-.0594,.0754-.0967,.016-.0456,.0235-.0938,.0222-.1421m.8226,1.3533h-.61l-.5742-.7086h-.1933v.7066h-.4679v-1.913h.7269c.1085-.0031,.2172,.0024,.3248,.0164,.0855,.0088,.1681,.0355,.2426,.0783,.0789,.0405,.1456,.1012,.1933,.1759,.0425,.0819,.0625,.1737,.058,.2658,.0044,.1242-.0384,.2454-.1199,.3393-.0832,.0952-.1884,.1685-.3064,.2136l.7259,.8255Zm.4186-.9203c.0053-.4029-.1547-.7903-.4427-1.072-.2749-.2868-.6574-.4452-1.0546-.4369-.3998-.0086-.7851,.1497-1.0633,.4369-.5856,.5955-.5856,1.5505,0,2.146,.5715,.5851,1.5091,.5962,2.0942,.0247,.0083-.0081,.0166-.0164,.0247-.0247,.289-.2818,.4492-.6703,.4427-1.074m.4253,0c.0069,.5131-.1972,1.0066-.5645,1.3649-.7536,.747-1.9685,.747-2.7221,0-.3705-.3563-.5758-.851-.5665-1.3649-.0083-.5104,.1971-1.001,.5665-1.3533,.7441-.75,1.955-.7561,2.7066-.0135l.0135,.0135c.3662,.3543,.5704,.8438,.5645,1.3533m-64.0238,6.7637h2.1044c1.5563,0,2.32,.6206,2.32,1.74,.0109,.539-.2936,1.0349-.7791,1.2692v.0242c.7243,.1716,1.2395,.8131,1.2509,1.5573,0,1.16-.6767,1.9652-2.5133,1.9652h-2.3828v-6.5559Zm2.0483,2.7588c.7414,0,1.1126-.2591,1.1126-.8893,0-.6767-.4456-.899-1.2799-.899h-.6109v1.7883h.7782Zm.2127,2.7898c.87,0,1.362-.2223,1.362-.9261s-.5007-.9667-1.4829-.9667h-.87v1.8908l.9908,.0019Zm4.9406-1.248l-2.32-4.3007h1.4548l1.5418,3.2267,1.6433-3.2248h1.4084l-2.4659,4.2726v2.2775h-1.2566l-.0058-2.2514Z" /></g></g></svg> </a> <p> Noticias, opiniones y análisis de la comunidad de seguridad de ESET </p> <div class="ms-auto"> <div class="language-picker dropdown"><div class="language-picker-wrapper"><button class="btn dropdown-toggle" type="button" data-bs-toggle="dropdown"aria-expanded="false">Español</button><ul class="dropdown-menu dropdown-menu-center"><a class="dropdown-item" href="/en/" title="English">English</a><a class="dropdown-item" href="/de/" title="Deutsch">Deutsch</a><a class="dropdown-item" href="/pt/" title="Português">Português</a><a class="dropdown-item" href="/fr/" title="Français">Français</a></ul></div></div> </div> </div> <div class="second-line"> <div class="container"> <div class="navbar-header"> <a class="header-brand" href="/es/" title="WeLiveSecurity"> <?xml version="1.0" encoding="UTF-8"?><svg id="Layer_2" xmlns="http://www.w3.org/2000/svg" viewBox="0 0 290 31.7919"><defs><style>.cls-1{fill:#0b8690;}.cls-2{fill:#053b44;}</style></defs><g id="Layer_1-2"><g><path class="cls-2" d="M0,8.6081H5.1069l2.869,10.7299,3.3282-10.845h4.3616l3.3833,10.845,2.9261-10.7879h4.9947l-5.51,17.8465h-4.5336l-3.3833-10.903-3.5012,10.903H5.451L0,8.6081Zm26.6257,9.0093h0c0-5.1069,3.6153-9.2964,8.7792-9.2964,5.9102,0,8.6651,4.5907,8.6651,9.6405,0,.4021-.057,.8603-.057,1.3195h-12.3955c.3233,2.123,2.219,3.6443,4.3616,3.5003,1.6303,.0269,3.1951-.6409,4.3036-1.8367l2.8729,2.5259c-1.7441,2.1958-4.4284,3.4313-7.2306,3.3282-4.9064,.227-9.0678-3.5664-9.2947-8.4728-.0109-.236-.0124-.4724-.0045-.7085Zm12.5095-1.4916c-.29-2.2378-1.6066-3.7874-3.7303-3.7874s-3.4432,1.4916-3.8444,3.7874h7.5747Zm57.842,7.9179l2.1266-3.3282c1.5999,1.2513,3.5393,1.9923,5.566,2.1267,1.4345,0,2.1266-.5162,2.1266-1.3195v-.057c0-1.0904-1.7216-1.4345-3.6733-2.0658-2.4679-.7463-5.2789-1.8937-5.2789-5.3369v-.057c0-3.6153,2.9261-5.6231,6.4843-5.6231,2.3553,.0234,4.6511,.742,6.5994,2.0658l-1.8937,3.5003c-1.4459-.9422-3.1015-1.5139-4.8207-1.6646-1.2054,0-1.8366,.5162-1.8366,1.2054v.057c0,.9754,1.6646,1.4345,3.6153,2.1267,2.4679,.8033,5.3369,2.0087,5.3369,5.2789v.057c0,3.9633-2.9261,5.7381-6.7666,5.7381-2.7543-.0573-5.4158-1.006-7.5854-2.7037Zm15.4356-6.4264h0c0-5.1069,3.6153-9.2964,8.7792-9.2964,5.9102,0,8.6651,4.5907,8.6651,9.6405,0,.4021-.057,.8603-.057,1.3195h-12.3375c.3233,2.123,2.219,3.6443,4.3616,3.5003,1.6303,.0269,3.1951-.6409,4.3036-1.8367l2.869,2.5249c-1.744,2.1959-4.4283,3.4315-7.2306,3.3282-5.3901,.001-9.3534-3.7835-9.3534-9.1804Zm12.5095-1.4916c-.29-2.2378-1.6066-3.7874-3.7303-3.7874s-3.4432,1.4916-3.8444,3.7874h7.5747Zm6.1412,1.4906h0c-.0992-5.0349,3.9019-9.197,8.9368-9.2964h.3596c2.6878-.1539,5.2947,.9485,7.0566,2.9841l-3.0991,3.3282c-.9721-1.2277-2.4505-1.9458-4.0165-1.9507-2.5249,0-4.3036,2.2378-4.3036,4.8198v.057c0,2.697,1.7787,4.8778,4.4756,4.8778,1.5606-.0446,3.0342-.7295,4.0745-1.8937l2.9261,2.9841c-1.7686,2.1577-4.4423,3.3673-7.2306,3.2712-5.0035,.0682-9.115-3.9326-9.1832-8.9361,0-.0009,0-.0017,0-.0026,.0026-.0806,.0038-.1614,.0039-.2426Zm17.9606,2.5249V8.6642h5.0498v9.8706c0,2.4099,1.1474,3.6153,3.0411,3.6153s3.1562-1.2054,3.1562-3.6153V8.6071h5.0498V26.3386h-5.0498v-2.5249c-1.1459,1.7743-3.1079,2.8527-5.22,2.869-3.7893,.001-6.0271-2.4669-6.0271-6.5414Zm18.4767-11.5342h5.0498v3.5573c1.0324-2.4679,2.697-4.0165,5.6811-3.9024v5.2789h-.29c-3.3282,0-5.3939,2.0087-5.3939,6.2543v6.5414h-5.047V8.6071Zm12.5666,0h5.0498V26.3386h-5.0498V8.6071Zm8.9561,12.7396V12.9117h-2.1267v-4.3036h2.1267V4.0745h5.0498v4.5336h4.1885v4.3036h-4.1924v7.5747c0,1.1474,.5162,1.7216,1.6066,1.7216,.8637,.0094,1.7148-.2083,2.4679-.6312v4.0165c-1.1964,.7132-2.571,1.0716-3.9633,1.0334-3.0952,.057-5.1571-1.2054-5.1571-5.2799Zm11.4153,9.1813l1.6646-3.6153c.6415,.4009,1.372,.6373,2.1267,.6883,.7821,.0558,1.5071-.4118,1.7787-1.1474l-6.9474-17.7885h5.3369l4.0165,12.1074,3.8444-12.1074h5.22l-6.7666,18.1326c-1.3775,3.6153-2.812,4.9928-5.8531,4.9928-1.5664,.0294-3.1059-.4102-4.4205-1.2625ZM182.4783,1.3195c1.3945,0,2.5249,1.1304,2.5249,2.5249s-1.1304,2.5249-2.5249,2.5249-2.5249-1.1304-2.5249-2.5249,1.1304-2.5249,2.5249-2.5249Zm38.8471,2.754v2.1267h-.6312v-2.1267h-.8603v-.5162h2.3528v.4592h-.8603l-.0009,.057Zm4.0755,2.1238v-1.7796l-.8033,1.7787h-.6312l-.7463-1.7787,.057,.3441v1.3775h-.5732V3.5573h.7463l.8603,2.0658,.9753-2.0658h.6883v2.6399h-.5732Z" /><path class="cls-1" d="M46.2508,2.2378h5.0498V26.3956h-5.0498V2.2378Zm7.9189,6.3693h5.0498V26.3386h-5.0498V8.6071Zm6.5414,0h5.3369l3.9633,11.8783,4.0126-11.8783h5.22l-7.0005,17.8465h-4.5907l-6.9416-17.8465Zm17.9035,9.0102h0c0-5.1069,3.6153-9.2964,8.7792-9.2964,5.9102,0,8.6651,4.5907,8.6651,9.6405,0,.4021-.057,.8603-.057,1.3195h-12.3375c.3232,2.1226,2.2184,3.6438,4.3606,3.5003,1.6303,.0269,3.1951-.6409,4.3036-1.8367l2.869,2.5249c-1.744,2.1959-4.4283,3.4315-7.2306,3.3282-5.3891,.001-9.3524-3.7835-9.3524-9.1804Zm12.5095-1.4916c-.29-2.2378-1.6066-3.7874-3.7294-3.7874s-3.4432,1.4916-3.8444,3.7874h7.5738ZM56.6366,0c-1.7746,0-3.2132,1.4386-3.2132,3.2132,0,1.7746,1.4386,3.2132,3.2132,3.2132,1.7746,0,3.2132-1.4386,3.2132-3.2132h0c-.0188-1.7667-1.4464-3.1943-3.2132-3.2132Zm0,4.5907c-.7567-.0094-1.3677-.6208-1.3765-1.3775-.0202-.7605,.58-1.3933,1.3405-1.4135,.7605-.0202,1.3933,.58,1.4135,1.3405,.0006,.0243,.0006,.0487,0,.073-.0089,.7571-.6204,1.3686-1.3775,1.3775Zm191.3425,4.0213c-2.2021-.0287-4.2611,1.0885-5.4375,2.9502-.9299,1.6095-1.1339,4.233-1.1339,5.9711s.2049,4.3596,1.1339,5.9691c1.1767,1.8615,3.2355,2.9785,5.4375,2.9502h34.4972c2.2018,.0283,4.2603-1.0888,5.4365-2.9502,.928-1.6095,1.1349-4.233,1.1349-5.9711s-.2069-4.3567-1.1349-5.9662c-1.1762-1.8615-3.2347-2.9786-5.4365-2.9502l-34.4972-.0029Zm22.9572,7.9392h2.9v-.0899c0-1.3272-.5326-1.4268-1.4896-1.4268-1.16,0-1.3794,.377-1.4133,1.5167m-20.3859-1.4297c.9512,0,1.4635,.0967,1.4635,1.3997v.0628h-2.8487c.0319-1.1165,.2591-1.4626,1.3852-1.4626m-4.0233,2.463c0,3.1262,.783,4.2533,4.0745,4.2533,1.0071,.0751,2.0175-.0927,2.9464-.4891,.7808-.4894,1.2122-1.3829,1.1097-2.2987h-2.5965c-.0271,.8903-.6322,.9821-1.4626,.9821-1.1996,0-1.4336-.4833-1.4336-1.9788v-.0638h5.4887v-.405c0-3.4123-.9231-4.2668-4.06-4.2668-3.3553,0-4.0745,1.044-4.0745,4.2668m9.8793-1.5621c0,1.6665,.5742,2.4476,4.0735,2.4476,.3744-.0275,.7508,.0097,1.1126,.1102,.2736,.1199,.4021,.3586,.4021,.7927,0,.726-.2658,.8043-1.5128,.8043-.6931,0-1.3987-.0155-1.4307-.9502h-2.6438c.0203,1.8425,.8932,2.4447,2.5085,2.5732,.4882,.0377,1.0188,.0348,1.565,.0348,2.2233,0,4.0735-.3712,4.0735-2.7849,0-2.2997-1.1996-2.463-4.0745-2.5288-1.4268-.0319-1.5109-.3316-1.5109-.8043,0-.5616,.0619-.7405,1.5119-.7405,.5317,0,1.0633,.0474,1.1822,.7086h2.4882v-.3393c0-2.001-2.0967-2.03-3.6733-2.03-2.3625,0-4.0735,.0532-4.0735,2.7066m21.6744-2.7066h6.5018v1.9005h-1.9333v6.525h-2.6274v-6.524h-1.9333l-.0077-1.9014Zm-9.7275,4.2059c0-3.2122,.7086-4.2398,4.0464-4.2398,3.1194,0,4.031,.842,4.031,4.2398v.376h-5.4896v.0909c0,1.4945,.2359,2.0058,1.4587,2.0058,.8226,0,1.45-.0909,1.4896-.9821h2.5413c.0948,.8946-.3269,1.7653-1.0875,2.2456-.9243,.3931-1.9294,.5588-2.9309,.4833-3.276,0-4.0464-1.1088-4.0464-4.2224m-23.7624,5.7874c-1.3214-1.421-1.6134-3.652-1.6134-5.7739s.29-4.35,1.6134-5.7758c1.0333-.9868,2.3994-1.5498,3.828-1.5776h17.7865v14.7048h-17.7865c-1.4285-.0278-2.7946-.5908-3.828-1.5776m43.7423-16.12c.0004-.036-.009-.0714-.0271-.1025-.0116-.0387-.0445-.0628-.086-.0899-.0385-.0194-.0807-.0303-.1237-.0319-.0559-.0087-.1126-.0123-.1692-.0106h-.1508v.5394h.115c.0678,.0013,.1357-.0022,.203-.0106,.0495-.0114,.0968-.0307,.1402-.057,.0317-.0265,.0574-.0594,.0754-.0967,.016-.0456,.0235-.0938,.0222-.1421m.8226,1.3533h-.61l-.5742-.7086h-.1933v.7066h-.4679v-1.913h.7269c.1085-.0031,.2172,.0024,.3248,.0164,.0855,.0088,.1681,.0355,.2426,.0783,.0789,.0405,.1456,.1012,.1933,.1759,.0425,.0819,.0625,.1737,.058,.2658,.0044,.1242-.0384,.2454-.1199,.3393-.0832,.0952-.1884,.1685-.3064,.2136l.7259,.8255Zm.4186-.9203c.0053-.4029-.1547-.7903-.4427-1.072-.2749-.2868-.6574-.4452-1.0546-.4369-.3998-.0086-.7851,.1497-1.0633,.4369-.5856,.5955-.5856,1.5505,0,2.146,.5715,.5851,1.5091,.5962,2.0942,.0247,.0083-.0081,.0166-.0164,.0247-.0247,.289-.2818,.4492-.6703,.4427-1.074m.4253,0c.0069,.5131-.1972,1.0066-.5645,1.3649-.7536,.747-1.9685,.747-2.7221,0-.3705-.3563-.5758-.851-.5665-1.3649-.0083-.5104,.1971-1.001,.5665-1.3533,.7441-.75,1.955-.7561,2.7066-.0135l.0135,.0135c.3662,.3543,.5704,.8438,.5645,1.3533m-64.0238,6.7637h2.1044c1.5563,0,2.32,.6206,2.32,1.74,.0109,.539-.2936,1.0349-.7791,1.2692v.0242c.7243,.1716,1.2395,.8131,1.2509,1.5573,0,1.16-.6767,1.9652-2.5133,1.9652h-2.3828v-6.5559Zm2.0483,2.7588c.7414,0,1.1126-.2591,1.1126-.8893,0-.6767-.4456-.899-1.2799-.899h-.6109v1.7883h.7782Zm.2127,2.7898c.87,0,1.362-.2223,1.362-.9261s-.5007-.9667-1.4829-.9667h-.87v1.8908l.9908,.0019Zm4.9406-1.248l-2.32-4.3007h1.4548l1.5418,3.2267,1.6433-3.2248h1.4084l-2.4659,4.2726v2.2775h-1.2566l-.0058-2.2514Z" /></g></g></svg> </a> <div class="me-2"> <button class=" navbar-toggler button-hamburger collapsed d-flex d-lg-none flex-column justify-content-around" type="button" data-bs-toggle="collapse" data-bs-target="#navbarNavDropdown" aria-controls="navbarNavDropdown" aria-expanded="false" aria-label="This is toggle button"><span class="toggler-icon top-bar"></span><span class="toggler-icon middle-bar"></span><span class="toggler-icon bottom-bar"></span></button> </div> </div> <nav id="navbarNavDropdown" class="collapse navbar-collapse page-navbar"><ul class="navbar-nav"><li class="nav-item d-lg-none"><div class="search-bar-input"><search-bar-component placeholder="Search WeLiveSecurity"class="search-bar-component-wrapper"></search-bar-component></div></li><li class="nav-item"><a class="nav-link" href="/es/consejos-seguridad/" title="Consejos de seguridad"><span class="">Consejos de seguridad</span></a></li><hr class="articles-card-divider px-0 m-0" /><li class="nav-item"><a class="nav-link" href="/es/seguridad-corporativa/" title="Seguridad para empresas"><span class="">Seguridad para empresas</span></a></li><hr class="articles-card-divider px-0 m-0" /><li class="nav-item dropdown"><a class="nav-link dropdown-toggle" href="" title="Investigaciones" role="button" data-bs-toggle="dropdown"aria-expanded="false">Investigaciones</a><div class="dropdown-menu dropdown-menu-center"><div class="dropdown-items-wrapper"><a class="dropdown-item" href="/es/investigaciones/" title="Artículos"><span class="">Artículos</span></a><a class="dropdown-item" href="/es/white-papers/" title="White papers"><span class="">White papers</span></a><a class="dropdown-item" href="/es/reportes/" title="Reportes"><span class="">Reportes</span></a></div></div></li><hr class="articles-card-divider px-0 m-0" /><li class="nav-item dropdown"><a class="nav-link dropdown-toggle" href="" title="Temas" role="button" data-bs-toggle="dropdown"aria-expanded="false">Temas</a><div class="dropdown-menu dropdown-menu-center"><div class="dropdown-items-wrapper"><a class="dropdown-item" href="/es/seguridad-digital/" title="Seguridad digital"><span class="">Seguridad digital</span></a><a class="dropdown-item" href="/es/investigaciones/" title="Investigaciones"><span class="">Investigaciones</span></a><a class="dropdown-item" href="/es/phishing/" title="Phishing"><span class="">Phishing</span></a><a class="dropdown-item" href="/es/recursos-herramientas/" title="Recursos y herramientas"><span class="">Recursos y herramientas</span></a><a class="dropdown-item" href="/es/seguridad-corporativa/" title="Seguridad para empresas "><span class="">Seguridad para empresas </span></a><a class="dropdown-item" href="/es/desafio-eset/" title="Desafíos ESET (CTF)"><span class="">Desafíos ESET (CTF)</span></a><a class="dropdown-item" href="/es/concientizacion/" title="Concientización"><span class="">Concientización</span></a><a class="dropdown-item" href="/es/ransomware/" title="Ransomware"><span class="">Ransomware</span></a><a class="dropdown-item" href="/es/estafas-enganos/" title="Estafas y engaños"><span class="">Estafas y engaños</span></a><a class="dropdown-item" href="/es/cibercrimen/" title="Cibercrimen"><span class="">Cibercrimen</span></a><a class="dropdown-item" href="/es/malware/" title="Malware"><span class="">Malware</span></a><a class="dropdown-item" href="/es/privacidad/" title="Privacidad"><span class="">Privacidad</span></a><a class="dropdown-item" href="/es/seguridad-menores/" title="Seguridad y menores"><span class="">Seguridad y menores</span></a><a class="dropdown-item" href="/es/cursos-online-ciberseguridad/" title="Cursos online gratuitos"><span class="">Cursos online gratuitos</span></a><a class="dropdown-item" href="/es/contrasenas/" title="Contraseñas"><span class="">Contraseñas</span></a><a class="dropdown-item" href="/es/seguridad-iot/" title="Seguridad en IoT"><span class="">Seguridad en IoT</span></a><a class="dropdown-item" href="/es/seguridad-infraestructuras-criticas/" title="Infraestructuras críticas"><span class="">Infraestructuras críticas</span></a><a class="dropdown-item" href="/es/seguridad-moviles/" title="Securidad en móviles"><span class="">Securidad en móviles</span></a><a class="dropdown-item" href="/es/antimalware-day/" title="Antimalware Day"><span class="">Antimalware Day</span></a><a class="dropdown-item" href="/es/informes/" title="Informes"><span class="">Informes</span></a><a class="dropdown-item" href="/es/consejos-seguridad/" title="Consejos de seguridad"><span class="">Consejos de seguridad</span></a><a class="dropdown-item" href="/es/seguridad-redes-sociales/" title="Seguridad en redes sociales"><span class="">Seguridad en redes sociales</span></a><a class="dropdown-item" href="/es/otros-temas/" title="Otros temas"><span class="">Otros temas</span></a></div></div></li><hr class="articles-card-divider px-0 m-0" /><li class="nav-item dropdown"><a class="nav-link dropdown-toggle" href="" title="Destacados" role="button" data-bs-toggle="dropdown"aria-expanded="false">Destacados</a><div class="dropdown-menu dropdown-menu-center"><div class="dropdown-items-wrapper"><a class="dropdown-item" href="/es/we-live-science/" title="WeLiveScience"><span class="button-link">WeLiveScience</span></a><a class="dropdown-item" href="/es/crisis-ucrania-centro-recursos-seguridad-digital/" title="Crisis en Ucrania – Centro de Recursos de Seguridad Digital"><span class="">Crisis en Ucrania – Centro de Recursos de Seguridad Digital</span></a><a class="dropdown-item" href="/es/we-live-progress/" title="WeLiveProgress"><span class="">WeLiveProgress</span></a><a class="dropdown-item" href="/es/covid-19/" title="COVID-19"><span class="">COVID-19</span></a><a class="dropdown-item" href="/es/guias/" title="Guías"><span class="">Guías</span></a><a class="dropdown-item" href="/es/infografias/" title="Infografías"><span class="">Infografías</span></a><a class="dropdown-item" href="/es/destacados/glosario/" title="Glosario"><span class="">Glosario</span></a></div></div></li><hr class="articles-card-divider px-0 m-0" /><li class="nav-item dropdown"><a class="nav-link dropdown-toggle" href="" title="Sobre nosotros" role="button" data-bs-toggle="dropdown"aria-expanded="false">Sobre nosotros</a><div class="dropdown-menu dropdown-menu-center"><div class="dropdown-items-wrapper"><a class="dropdown-item" href="/es/company/acerca-de/" title="Acerca de WeLiveSecurty"><span class="">Acerca de WeLiveSecurty</span></a><a class="dropdown-item" href="/es/nuestros-expertos/" title="Nuestros expertos"><span class="">Nuestros expertos</span></a><a class="dropdown-item" href="/es/company/contactanos/" title="Contáctanos"><span class="">Contáctanos</span></a><a class="dropdown-item" href="/es/company/antimalware-day/" title="Qué es Antimalware Day"><span class="">Qué es Antimalware Day</span></a></div></div></li><hr class="articles-card-divider px-0 m-0" /><li class="nav-item dropdown d-lg-none"><a class="nav-link dropdown-toggle languages" href="/es/" title="Español" role="button"data-bs-toggle="dropdown" aria-expanded="false">Español</a><div class="dropdown-menu dropdown-menu-center"><div class="dropdown-items-wrapper"><a class="dropdown-item" href="/en/" title="English">English</a><a class="dropdown-item" href="/de/" title="Deutsch">Deutsch</a><a class="dropdown-item" href="/pt/" title="Português">Português</a><a class="dropdown-item" href="/fr/" title="Français">Français</a></div></div></li><li class="nav-item ms-auto d-none d-lg-block"><button class="nav-link ms-auto search-button-close" type="button" data-bs-toggle="collapse"data-bs-target=".search-bar-wrapper" aria-expanded="false"><svg xmlns="http://www.w3.org/2000/svg" viewBox="0 0 19.9485 19.9001" fill="#424D56"><path d="m19.5429,17.9473l-4.86-4.852c2.7034-3.5802,1.9927-8.674-1.5874-11.3774C9.5153-.9856,4.4214-.2749,1.718,3.3053-.9854,6.8854-.2747,11.9793,3.3055,14.6827c1.4094,1.0643,3.1273,1.6402,4.8934,1.6406,1.7749.0083,3.5023-.5739,4.91-1.655l4.883,4.829c.207.2113.4912.329.787.326.2948-.0022.5771-.1191.787-.326.4163-.4365.406-1.126-.023-1.55Zm-11.316-3.821c-3.2811-.0017-5.9396-2.663-5.9378-5.9442.0017-3.2811,2.663-5.9396,5.9442-5.9378,1.5726.0008,3.0806.6251,4.1937,1.736,1.1259,1.1056,1.7528,2.6221,1.736,4.2-.0007,1.5744-.6249,3.0845-1.736,4.2-1.1067,1.1254-2.6216,1.7552-4.2,1.746Z" /></svg></button></li></ul><div class="search-bar"><div class="collapse search-bar-wrapper"><div class="search-bar-input"><search-bar-component placeholder="Search WeLiveSecurity"class="search-bar-component-wrapper"></search-bar-component><button class="nav-link search-button-close" type="button" data-bs-toggle="collapse"data-bs-target=".search-bar-wrapper" aria-expanded="false"><svg xmlns="http://www.w3.org/2000/svg" viewBox="0 0 18.1065 18.0626"><polygon points="10.6883 9.0363 17.4683 15.8163 15.8383 17.4463 9.0583 10.6663 2.2683 17.4463 .6383 15.8163 7.4283 9.0363 .6383 2.2463 2.2683 .6163 9.0583 7.4063 15.8383 .6163 17.4683 2.2463 10.6883 9.0363" /></svg></button></div></div></div></nav> </div> </div> <div class="additional-info d-none"> <div class="container"> <p> Noticias, opiniones y análisis de la comunidad de seguridad de ESET </p> </div> </div> </header> <!-- main content --> <div id="main"> <div class="container article-page py-5"> <div class="row"> <div class="col col-lg-8 pe-lg-0"> <div class="article-header"> <p class="category text-uppercase">Investigaciones, Featured</p> <h1 class="page-headline">Análisis de WolfsBane: un nuevo backdoor para Linux del grupo APT Gelsemiun</h1> <p class="sub-title">Investigadores de ESET analizan backdoors para Linux relacionados con un conocido malware para Windows utilizado por el Gelsemium y Project Wood. La tendencia del malware hacia los sistemas Linux parece ir en aumento en el ecosistema de los grupos APT.</p> <div class="article-authors d-flex flex-wrap"><div class="article-author d-flex"><a href="/es/nuestros-expertos/viktor-sperka/" title="Viktor Šperka"><picture><source srcset="https://web-assets.esetstatic.com/tn/-x45/wls/2023/2023-8/viktor-1.jpeg" media="(max-width: 768px)" /><img class="author-image me-3" src="https://web-assets.esetstatic.com/tn/-x45/wls/2023/2023-8/viktor-1.jpeg" alt="Viktor Šperka" /></picture></a><div class="author-text"><p><a href="/es/nuestros-expertos/viktor-sperka/" title="Viktor Šperka"><b>Viktor Šperka</b></a></p></div></div></div> <p class="article-info mb-5"> <span>21 Nov 2024</span> <span class="d-none d-lg-inline">&nbsp;&bull;&nbsp;</span> <span class="d-inline d-lg-none">, </span> <span>22 min. read</span> </p> <div class="hero-image-container"> <picture><source srcset="https://web-assets.esetstatic.com/tn/-x266/wls/2024/11-2024/wolfsbane/wolfsbane-gelsemium-gelsevirine-linux.jpeg" media="(max-width: 768px)" /><source srcset="https://web-assets.esetstatic.com/tn/-x425/wls/2024/11-2024/wolfsbane/wolfsbane-gelsemium-gelsevirine-linux.jpeg" media="(max-width: 1120px)" /><img class="hero-image" src="https://web-assets.esetstatic.com/tn/-x700/wls/2024/11-2024/wolfsbane/wolfsbane-gelsemium-gelsevirine-linux.jpeg" alt="Análisis de WolfsBane: un nuevo backdoor para Linux del grupo APT Gelsemiun" /></picture> </div> </div> <div class="article-body"> <p>Los investigadores de ESET han identificado m&uacute;ltiples muestras de backdoor para Linux, al que hemos llamado WolfsBane, que atribuimos con alta confianza al grupo de amenazas persistentes avanzadas (APT) Gelsemium. Este actor de amenazas alineado con China tiene un historial conocido que se remonta a 2014 y, hasta ahora, no ha habido informes p&uacute;blicos de que Gelsemium utilice malware de Linux. Adem&aacute;s, descubrimos otra puerta trasera de Linux, a la que llamamos FireWood. Sin embargo, no podemos vincular definitivamente FireWood a otras herramientas de Gelsemium, y su presencia en los archivos analizados podr&iacute;a ser casual. Por lo tanto, atribuimos FireWood a Gelsemium con poca confianza, considerando que podr&iacute;a ser una herramienta compartida entre m&uacute;ltiples grupos APT alineados con China.</p> <p>Las muestras m&aacute;s notables que encontramos en los archivos subidos a VirusTotal son dos puertas traseras parecidas a malware conocido de Windows utilizado por Gelsemium. WolfsBane es el equivalente de Gelsevirine para Linux, mientras que FireWood est&aacute; relacionado con Project Wood. Tambi&eacute;n descubrimos otras herramientas potencialmente relacionadas con las actividades de Gelsemium. El objetivo de las puertas traseras y herramientas descubiertas es el ciberespionaje dirigido a datos sensibles como informaci&oacute;n del sistema, credenciales de usuario y archivos y directorios espec&iacute;ficos. Estas herramientas est&aacute;n dise&ntilde;adas para mantener un acceso persistente y ejecutar comandos de forma sigilosa, lo que permite la recopilaci&oacute;n prolongada de inteligencia mientras se evade la detecci&oacute;n.</p> <p>La tendencia de los grupos APT a centrarse en el malware para Linux es cada vez m&aacute;s notable. Creemos que este cambio se debe a las mejoras en la seguridad del correo electr&oacute;nico y los puntos finales de Windows, como el uso generalizado de herramientas de detecci&oacute;n y respuesta de puntos finales (EDR) y la decisi&oacute;n de Microsoft de desactivar por defecto las macros de Visual Basic para Aplicaciones (VBA). En consecuencia, los autores de las amenazas est&aacute;n explorando nuevas v&iacute;as de ataque, centr&aacute;ndose cada vez m&aacute;s en explotar las vulnerabilidades de los sistemas orientados a Internet, la mayor&iacute;a de los cuales se ejecutan en Linux.</p> <p>En este blogpost, ofrecemos un an&aacute;lisis t&eacute;cnico del malware para Linux, centr&aacute;ndonos principalmente en las dos puertas traseras diferentes.</p> <blockquote> <div><strong>Puntos clave del blogpost:</strong></div> <ul> <li>Los investigadores de ESET encontraron archivos con m&uacute;ltiples muestras de Linux que conten&iacute;an dos backdoors desconocidas hasta entonces.</li> <li>El primer backdoor, WolfsBane, es una versi&oacute;n para Linux de Gelsevirine, un backdoor para Windows utilizado por Gelsemium.</li> <li>Su dropper es equivalente al dropper de Gelsemine, y cuenta con un hider basado en un rootkit de c&oacute;digo abierto.</li> <li>El segundo backdoor, que hemos denominado FireWood, est&aacute; relacionado con el Proyecto Wood. La versi&oacute;n para Windows del backdoor Project Wood fue utilizada anteriormente por el grupo Gelsemium en la operaci&oacute;n TooHash.</li> <li>Junto a los backdoors, encontramos herramientas adicionales, principalmente web shells basadas en c&oacute;digo disponible p&uacute;blicamente.</li> </ul> </blockquote> <h2>Resumen</h2> <p>En 2023, encontramos estas muestras en archivos subidos a VirusTotal desde Taiw&aacute;n, Filipinas y Singapur, probablemente procedentes de una respuesta a un incidente en un servidor comprometido. Gelsemium se ha dirigido <a href="https://www.welivesecurity.com/la-es/2021/06/09/gelsemium-malware-complejo-modular-utilizado-grupo-cibersespionaje/" target="_blank" rel="noopener">anteriormente</a> a entidades de Asia Oriental y Oriente Medio.</p> <p>El primer backdoor forma parte de una cadena de carga simple compuesta por el dropper, el launcher y el backdoor. Hemos llamado a este malware WolfsBane. Como se explica en las secciones <a href="#Attribution and connection"><em>Atribuci&oacute;n y conexi&oacute;n</em></a> y <em><a href="#Technical analysis">An&aacute;lisis t&eacute;cnico</a></em>, WolfsBane es un equivalente en Linux del backdoor Gelsevirine de Gelsemium y el dropper WolfsBane es an&aacute;logo al dropper Gelsemine. Nuestro nombre para Gelsemium proviene de una posible traducci&oacute;n del nombre que encontramos en el informe de <a href="https://www.venustech.com.cn/uploads/2018/08/231401512426.pdf" target="_blank" rel="noopener">VenusTech</a>, que apod&oacute; al grupo 狼毒草. Es el nombre de un g&eacute;nero de plantas con flores de la familia Gelsemiaceae, y <em>Gelsemium elegans</em> es la especie que contiene compuestos t&oacute;xicos como Gelsemine, Gelsenicine y Gelsevirine, que elegimos como nombres para los tres componentes de esta familia de malware. Anteriormente analizamos Gelsevirine y Gelsemine en <a href="https://web-assets.esetstatic.com/wls/2021/06/eset_gelsemium.pdf" target="_blank" rel="noopener">este libro blanco</a>. Parte de la cadena de ataque WolfsBane analizada es tambi&eacute;n un rootkit de usuario de c&oacute;digo abierto modificado, un tipo de software que existe en el espacio de usuario de un sistema operativo y oculta sus actividades.</p> <p>El segundo backdoor, al que hemos llamado FireWood, est&aacute; conectado al rastreado por los investigadores de ESET bajo el nombre de Project Wood, analizado previamente en la secci&oacute;n <em>Project Wood</em> de <a href="https://www.welivesecurity.com/es/investigaciones/nspx30-un-sofisticado-implante-habilitado-para-aitm-en-evolucion-desde-2005/" target="_blank" rel="noopener">este blogpost</a>. Lo hemos rastreado hasta 2005 y hemos observado su evoluci&oacute;n hacia versiones m&aacute;s sofisticadas.</p> <p>Los archivos que hemos analizado tambi&eacute;n contienen varias herramientas adicionales, en su mayor&iacute;a webshells, que permiten el control remoto a un usuario una vez instaladas en un servidor comprometido, y herramientas de utilidad sencillas.</p> <h2>Atribuci&oacute;n y conexi&oacute;n<a id="Attribution and connection"></a></h2> <p>En esta secci&oacute;n explicamos las similitudes que nos llevaron a atribuir el malware WolfsBane al grupo Gelsemium APT y a establecer una conexi&oacute;n entre el backdoor FireWood y el malware Project Wood.</p> <h3>V&iacute;nculos de WolfsBane con Windows Gelsevirine</h3> <p>Bas&aacute;ndonos en las siguientes similitudes, creemos que el backdoor WolfsBane es la versi&oacute;n Linux de <a href="https://www.welivesecurity.com/2021/06/09/gelsemium-when-threat-actors-go-gardening/" target="_blank" rel="noopener">Gelsevirine</a>. Por lo tanto, atribuimos WolfsBane al grupo Gelsemium APT con una confianza alta:</p> <ul> <li><strong>Bibliotecas personalizadas para la comunicaci&oacute;n en red:</strong> Tanto la versi&oacute;n de Linux como la de Windows cargan una biblioteca personalizada integrada para la comunicaci&oacute;n de red, con una biblioteca diferente para cada protocolo de comunicaci&oacute;n utilizado. El backdoor accede a las funciones de la librer&iacute;a llamando a su exportaci&oacute;n/s&iacute;mbolo <span style="font-family: courier new, courier, monospace;">create_seesion</span>; en particular, la <span style="font-family: courier new, courier, monospace;">seesi&oacute;n</span> es la misma en ambas versiones (como se muestra en la Figura 1).</li> </ul> <figure class="image"><img title="Figure 1. Accessing the create_seesion export in Linux (left) and Windows (right) versions of backdoor" src="https://web-assets.esetstatic.com/wls/2024/11-2024/wolfsbane/figure-1.jpeg" alt="Figure 1. Accessing the create_seesion export in Linux and Windows versions of backdoor" width="1424" height="312" /><canvas class="lt-highlighter__canvas" style="display: none; top: 15px !important; left: 533px !important;" width="491" height="22"></canvas><canvas class="lt-highlighter__canvas" style="display: none; top: 15px !important; left: 1024px !important;" width="55" height="21"></canvas> <figcaption><em>Figura 1.&nbsp;</em><em>Acceso a la&nbsp;</em><em>exportaci&oacute;n&nbsp;</em><span style="font-family: courier new, courier, monospace;">create_seesion</span><em> en las versiones Linux (izquierda) y Windows (derecha) de backdoor</em></figcaption> </figure> <ul> <li><strong>Mecanismo de ejecuci&oacute;n de comandos:</strong> Ambas versiones utilizan el mismo mecanismo para ejecutar los comandos recibidos del servidor de C&amp;C. El backdoor crea una tabla con hashes (derivados del nombre del comando) y los correspondientes punteros a funciones que manejan esos comandos (Figura 2). Proporcionamos m&aacute;s detalles en la secci&oacute;n <em><a href="#Technical analysis">An&aacute;lisis t&eacute;cnico</a></em>.</li> </ul> <figure class="image"><img title="Figure 2. Comparison of plugin command names found in the Linux Wolfsbane (left) and Windows Gelsevirine (right) backdoors" src="https://web-assets.esetstatic.com/wls/2024/11-2024/wolfsbane/figure-2.jpeg" alt="Figure 2. Comparison of plugin command names" width="" height="" /> <figcaption><em>Figura 2. Comparaci&oacute;n de los nombres de los comandos plugin encontrados en los backdoors Linux Wolfsbane (izquierda) y Windows Gelsevirine (derecha)</em></figcaption> </figure> <ul> <li><strong>Estructura de la configuraci&oacute;n:</strong> Ambos backdoors utilizan una estructura de configuraci&oacute;n muy similar. Mientras que la versi&oacute;n Linux tiene algunos campos omitidos y otros extra, la mayor&iacute;a de los nombres de los campos son consistentes. Por ejemplo, el valor de <span style="font-family: courier new, courier, monospace;">pluginkey</span> que se encuentra en la configuraci&oacute;n es el mismo que en todas las muestras de Windows Gelsevirine de 2019. Adem&aacute;s, los valores <span style="font-family: courier new, courier, monospace;">de controller_version</span> en la configuraci&oacute;n de la versi&oacute;n de Linux coinciden con los de las muestras de Gelsevirine.</li> <li><strong>Uso del dominio: </strong>El dominio <span style="font-family: courier new, courier, monospace;">dsdsei[.]com</span>, utilizado por la versi&oacute;n de Linux, fue marcado previamente por los investigadores de ESET como un indicador de compromiso (IoC) asociado con el grupo Gelsemium APT.</li> </ul> <h3>Conexi&oacute;n de FireWood con Project Wood</h3> <p>Hemos encontrado similitudes de c&oacute;digo entre la muestra de FireWood y el backdoor utilizado en la operaci&oacute;n TooHash (SHA-1: <span style="font-family: courier new, courier, monospace;">ED5342D9788392C6E854AAEFA655C4D3B4831B6B</span>), <a href="https://paper.seebug.org/papers/APT/APT_CyberCriminal_Campagin/2014/GDATA_TooHash_CaseStudy_102014_EN_v1.pdf" target="_blank" rel="noopener">descrito por G DATA</a>, que lo considera parte del rootkit DirectsX. Los investigadores de ESET bautizaron posteriormente a este backdoor como <a href="https://www.welivesecurity.com/en/eset-research/nspx30-sophisticated-aitm-enabled-implant-evolving-since-2005/" target="_blank" rel="noopener">Project Wood</a>. Estas similitudes incluyen:</p> <ul> <li><strong>Convenciones de nomenclatura:</strong> Ambos utilizan la cadena "Wood" en la nomenclatura. Por ejemplo, la estructura de configuraci&oacute;n del backdoor FireWood es referenciada por el s&iacute;mbolo <span style="font-family: courier new, courier, monospace;">WoodConf</span>, y las versiones Win32 utilizan el nombre mutex <span style="font-family: courier new, courier, monospace;">IMPROVING CLIENT Want Wood To Exit?</span></li> <li><strong>Extensiones de archivo:</strong> Ambas muestras comparten extensiones de archivo espec&iacute;ficas como <span style="font-family: courier new, courier, monospace;">.k2</span> y <span style="font-family: courier new, courier, monospace;">.v2</span>.</li> <li><strong>Algoritmo de cifrado TEA:</strong> La implementaci&oacute;n del algoritmo de cifrado TEA con un n&uacute;mero variable de rondas es la misma en ambas muestras.</li> <li><strong>Cadenas de comunicaci&oacute;n C&amp;C:</strong> Ambas muestras utilizan las mismas cadenas en el c&oacute;digo responsable de las comunicaciones C&amp;C, XORed con la misma clave de un byte<span style="font-family: courier new, courier, monospace;">(0x26</span>).</li> <li><strong>C&oacute;digo de red:</strong> El c&oacute;digo de red de ambas muestras es muy similar.</li> </ul> <p>Bas&aacute;ndonos en estos hallazgos, evaluamos con alta confianza que el backdoor FireWood es la continuaci&oacute;n para Linux del backdoor Project Wood. No se puede demostrar una conexi&oacute;n entre el backdoor FireWood y otras herramientas de Gelsemium y su presencia en los archivos analizados podr&iacute;a ser casual. Por lo tanto, nuestra atribuci&oacute;n a Gelsemium es poco fiable y reconocemos la posibilidad de que se trate de una herramienta compartida por varios grupos APT chinos, tal vez a trav&eacute;s de un intendente digital com&uacute;n, como hemos visto con otros grupos alineados con China.</p> <h2>An&aacute;lisis t&eacute;cnico<a id="Technical analysis"></a></h2> <p>El <a href="https://www.virustotal.com/gui/file/3aa8a5afa686e6b21fcc268760ea1f344560607abe9a3edb3f23d14a6032597b" target="_blank" rel="noopener">primer archivo</a> se subi&oacute; a VirusTotal e 6 de marzo de 2023, desde Taiw&aacute;n. Tambi&eacute;n se subieron archivos posteriores desde Filipinas y Singapur. Bas&aacute;ndonos en la estructura de carpetas (Figura 3), el objetivo era probablemente un servidor web Apache Tomcat que ejecutaba una aplicaci&oacute;n web Java no identificada.</p> <figure class="image"><img title="Figure 3. Example of archive structure" src="https://web-assets.esetstatic.com/wls/2024/11-2024/wolfsbane/figure-3-1.png" alt="Figure 3. Example of archive structure" width="794" height="421" /> <figcaption spellcheck="false" data-lt-tmp-id="lt-824418" data-gramm="false"><em>Figura 3. Ejemplo de estructura de archivos</em></figcaption> </figure> <h4>Acceso inicial</h4> <p>Aunque carecemos de pruebas concretas sobre el vector de acceso inicial, la presencia de m&uacute;ltiples webshells (como se muestra en la Tabla 1 y se describe en la <em>secci&oacute;n <a href="#Webshells">Webshells</a> </em>) y las t&aacute;cticas, t&eacute;cnicas y procedimientos (TTP) utilizados por el grupo Gelsemium APT en los &uacute;ltimos a&ntilde;os, concluimos con una confianza media que los atacantes explotaron una vulnerabilidad desconocida de la aplicaci&oacute;n web para obtener acceso al servidor.</p> <p style="text-align: center;"><em>Tabla 1. Webshells encontradas en los archivos analizados Webshells encontradas en los archivos analizados</em></p> <p><table border="1" width="642" cellspacing="0" cellpadding="0"> <thead> <tr> <td width="0"><strong>SHA-1</strong></td> <td width="0"><strong>Filename</strong></td> <td width="0"><strong>Description</strong></td> </tr> </thead> <tbody> <tr> <td width="0"><span style="font-family: courier new, courier, monospace;">238C8E8EB7A732D85D8A<wbr />7F7CA40B261D8AE4183D</span></td> <td width="0"><span style="font-family: courier new, courier, monospace;">login.jsp</span></td> <td width="0">Modified <a href="https://github.com/AntSwordProject/AntSword-JSP-Template/blob/master/web/shell.jsp" target="_blank" rel="noopener">AntSword JSP</a> webshell.</td> </tr> <tr> <td width="0"><span style="font-family: courier new, courier, monospace;">9F7790524BD759373AB5<wbr />7EE2AAFA6F5D8BCB918A</span></td> <td width="0"><span style="font-family: courier new, courier, monospace;">yy1.jsp</span></td> <td width="0"><a href="https://github.com/tennc/webshell/blob/master/jsp/icesword.jsp" target="_blank" rel="noopener">icesword</a> webshell.</td> </tr> <tr> <td width="0"><span style="font-family: courier new, courier, monospace;">FD601A54BC622C041DF0<wbr />242662964A7ED31C6B9C</span></td> <td width="0"><span style="font-family: courier new, courier, monospace;">a.jsp</span></td> <td width="0">Obfuscated JSP webshell.</td> </tr> </tbody> </table></p> <h3>Conjunto de herramientas</h3> <h4>WolfsBane</h4> <p>Los componentes de WolfsBane y la cadena de ejecuci&oacute;n se muestran en la Figura 4.</p> <figure class="image"><img title="Figure 4. WolfsBane execution chain" src="https://web-assets.esetstatic.com/wls/2024/11-2024/wolfsbane/figure-4.jpeg" alt="Figure 4. WolfsBane execution chain" width="1502" height="1830" /><canvas class="lt-highlighter__canvas" style="display: none; top: 15px !important; left: 504px !important;" width="67" height="21"></canvas> <figcaption spellcheck="false" data-lt-tmp-id="lt-974759" data-gramm="false"><em>Figura 4. Cadena de ejecuci&oacute;n de WolfsBane</em></figcaption> </figure> <h5>Fase 1: dropper de WolfsBane</h5> <p>El dropper para WolfsBane se encontraba en un archivo llamado <span style="font-family: courier new, courier, monospace;">cron</span>, imitando la <a href="https://en.wikipedia.org/wiki/Cron" target="_blank" rel="noopener">herramienta leg&iacute;tima de programaci&oacute;n de comandos</a>. Una vez ejecutado, primero coloca el launcher y el backdoor principal en el directorio oculto <span style="font-family: courier new, courier, monospace;">$HOME/.Xl1</span> (n&oacute;tese el uso de la letra l), creado por el dropper. Lo m&aacute;s probable es que el nombre del directorio sea deliberadamente parecido a X11, un nombre de carpeta com&uacute;nmente utilizado en <a href="https://en.wikipedia.org/wiki/X_Window_System" target="_blank" rel="noopener">X Window System</a></p> <p>A continuaci&oacute;n, el dropper establece la persistencia bas&aacute;ndose en la configuraci&oacute;n del sistema y el contexto de ejecuci&oacute;n:</p> <p>Si se ejecuta como <span style="font-family: courier new, courier, monospace;">root</span>:</p> <ul> <li>Comprueba la presencia de la suite <span style="font-family: courier new, courier, monospace;">systemd</span>.</li> <li>Si <span style="font-family: courier new, courier, monospace;">systemd</span> est&aacute; presente, escribe el archivo <span style="font-family: courier new, courier, monospace;">/lib/systemd/system/display-managerd.service</span> con la ruta a la siguiente etapa (lanzador WolfsBane) como entrada <span style="font-family: courier new, courier, monospace;">ExecStart</span> (ver Figura 5). Esto garantiza que el lanzador se ejecute como un servicio del sistema, ya que los archivos <span style="font-family: courier new, courier, monospace;">.service</span> de esta carpeta se analizan durante el inicio del sistema.</li> <li>Desactiva el m&oacute;dulo de seguridad <a href="https://www.redhat.com/en/topics/linux/what-is-selinux" target="_blank" rel="noopener">SELinux</a> cambiando la entrada <span style="font-family: courier new, courier, monospace;">SELINUX</span> en el archivo de configuraci&oacute;n SELinux de <span style="font-family: courier new, courier, monospace;">enforcing a disabled</span>.</li> </ul> <pre class="language-nginx"><code>[Unit] Description=Display-Manager [Service] Type=simple ExecStart=&lt;PATH_TO_LAUNCHER_EXECUTABLE&gt; [Install] WantedBy=multi-user.targetComment</code></pre> <p style="text-align: center;"><em>Figura 5. Contenido de display-managerd </em><em> Contenido del archivo</em><span style="font-family: courier new, courier, monospace;">display-managerd.service</span></p> <p>Si <span style="font-family: courier new, courier, monospace;">systemd</span> no est&aacute; presente, el dropper escribe un sencillo script bash que ejecuta el launcher (Figura 6), en un archivo llamado <span style="font-family: courier new, courier, monospace;">S60dlump</span> en todas las carpetas de inicio <span style="font-family: courier new, courier, monospace;">rc[1-5].d</span>.</p> <pre class="language-markup"><code>#!/bin/bash /usr/bin/.Xl1/kde</code></pre> <p style="text-align: center;"><em>Figura 6. Script ejecutando el lanzador WolfsBane</em></p> <p>Si se ejecuta como usuario sin privilegios en un sistema basado en Debian:</p> <ul> <li>escribe un script bash similar en el archivo <span style="font-family: courier new, courier, monospace;">profile.sh</span>, y</li> <li>a&ntilde;ade el comando <span style="font-family: courier new, courier, monospace;">/home/www/.profile.sh 2&gt;/dev/null</span> a los archivos <span style="font-family: courier new, courier, monospace;">.bashrc</span> y <span style="font-family: courier new, courier, monospace;">.profile</span> en la carpeta de inicio del usuario, asegurando que el lanzador Wolfsbane se inicie autom&aacute;ticamente despu&eacute;s de que la v&iacute;ctima inicie sesi&oacute;n.</li> </ul> <p>Para otras distribuciones de Linux crea el mismo archivo <span style="font-family: courier new, courier, monospace;">profile.sh</span> pero a&ntilde;ade su ruta s&oacute;lo a <span style="font-family: courier new, courier, monospace;">.bashrc</span>.</p> <p>Adem&aacute;s, si el dropper se ejecuta con privilegios de root, suelta el rootkit WolfsBane Hider como <span style="font-family: courier new, courier, monospace;">/usr/lib/libselinux.so</span> y a&ntilde;ade este comando a <span style="font-family: courier new, courier, monospace;">/etc/ld.so.preload</span>, asegurando que la librer&iacute;a del rootkit se carga en todos los procesos.</p> <p>Por &uacute;ltimo, el dropper se elimina a s&iacute; mismo del disco y ejecuta la siguiente etapa: el lanzador.</p> <h5>Etapa 2: Lanzador WolfsBane</h5> <p>Se utiliza un peque&ntilde;o binario llamado <span style="font-family: courier new, courier, monospace;">kde</span> para mantener la persistencia, h&aacute;bilmente disfrazado como un&nbsp;<a href="https://en.wikipedia.org/wiki/KDE" target="_blank" rel="noopener">componente leg&iacute;timo del escritorio KDE</a> para evitar la detecci&oacute;n y mantener la persistencia. Independientemente del m&eacute;todo de establecimiento, el objetivo es ejecutar este binario, cuya funci&oacute;n principal es analizar su configuraci&oacute;n incrustada e iniciar la siguiente etapa -el backdoor WolfsBane- desde el archivo especificado en la configuraci&oacute;n.</p> <h5>Etapa 3: puerta trasera WolfsBane</h5> <p>El backdoor WolfsBane, almacenado en un archivo llamado <span style="font-family: courier new, courier, monospace;">udevd</span>, comienza cargando una librer&iacute;a embebida y llamando a su exportaci&oacute;n <span style="font-family: courier new, courier, monospace;">main_session</span>, que contiene las principales funcionalidades del backdoor. Esta biblioteca, denominada por sus autores <span style="font-family: courier new, courier, monospace;">libMainPlugin.so</span>, es an&aacute;loga a <span style="font-family: courier new, courier, monospace;">MainPlugin.dll</span>, utilizada en la versi&oacute;n para Windows del backdoor Gelsevirine.</p> <p>Al igual que su versi&oacute;n para Windows, la puerta trasera WolfsBane utiliza otras bibliotecas integradas para la comunicaci&oacute;n de red. En las muestras que hemos recogido, se llaman <span style="font-family: courier new, courier, monospace;">libUdp.so</span> y <span style="font-family: courier new, courier, monospace;">libHttps.so</span>, y ambas exportan el s&iacute;mbolo <span style="font-family: courier new, courier, monospace;">create_seesion</span> (el error ortogr&aacute;fico es exactamente el mismo que en la versi&oacute;n Windows del m&oacute;dulo TCP de Gelsevirine). Estas bibliotecas compartidas proporcionan comunicaciones C&amp;C a trav&eacute;s de los protocolos UDP y HTTPS, respectivamente.</p> <p>El backdoor cifra la librer&iacute;a <span style="font-family: courier new, courier, monospace;">libMainPlugin.</span> so utilizando el algoritmo RC4 (con la clave obtenida del valor <span style="font-family: courier new, courier, monospace;">pluginkey</span> en la configuraci&oacute;n) y la guarda en <span style="font-family: courier new, courier, monospace;">&lt;work_directory&gt;/X1l/data/gphoto2</span>. En ejecuciones posteriores, la puerta trasera comprueba primero si existe este archivo: si existe, el archivo se descifra y se carga en lugar del <span style="font-family: courier new, courier, monospace;">libMainPlugin.</span>so incrustado. Este mecanismo permite actualizar el backdoor sobrescribiendo el archivo.</p> <p>El backdoor WolfsBane utiliza un enfoque similar al de su hom&oacute;logo de Windows para ejecutar los comandos recibidos de su servidor de C&amp;C.</p> <h5>El rootkit WolfsBane Hider</h5> <p>El backdoor WolfsBane utiliza un rootkit de usuario <a href="https://github.com/unix-thrust/beurk/tree/dev" target="_blank" rel="noopener">BEURK</a> de c&oacute;digo abierto modificado para ocultar sus actividades. Ubicado en <span style="font-family: courier new, courier, monospace;">/usr/lib/libselinux.so</span>, este rootkit abusa del mecanismo de precarga del sistema operativo para cargarse en nuevos procesos antes que otras librer&iacute;as a&ntilde;adiendo su ruta al archivo <span style="font-family: courier new, courier, monospace;">/etc/ld.so.preload</span>, permitiendo as&iacute; que sus funciones enganchen a las originales.</p> <p>El rootkit WolfsBane Hider engancha muchas funciones b&aacute;sicas est&aacute;ndar de la biblioteca C como <span style="font-family: courier new, courier, monospace;">open</span>, <span style="font-family: courier new, courier, monospace;">stat</span>, <span style="font-family: courier new, courier, monospace;">readdir</span> y <span style="font-family: courier new, courier, monospace;">access</span>. Aunque estas funciones enganchadas invocan a las originales, filtran cualquier resultado relacionado con el malware WolfsBane. A diferencia del rootkit BEURK original, que utiliza un archivo de configuraci&oacute;n incrustado para el filtrado, los desarrolladores de WolfsBane conservaron la configuraci&oacute;n predeterminada pero modificaron el c&oacute;digo fuente para excluir la informaci&oacute;n relacionada con los nombres de archivo codificados de los ejecutables del malware <span style="font-family: courier new, courier, monospace;">udevd</span> y <span style="font-family: courier new, courier, monospace;">kde</span>. Adem&aacute;s, el rootkit BEURK original carece de funciones para ocultar el tr&aacute;fico de red.</p> <h4>Backdoor FireWood</h4> <p>El backdoor FireWood, en un archivo llamado <span style="font-family: courier new, courier, monospace;">dbus</span>, es la continuaci&oacute;n para el SO Linux del malware Project Wood, como se indic&oacute; en la secci&oacute;n <a href="#Attribution and connection"><em>Atribuci&oacute;n y conexi&oacute;n</em></a>. El c&oacute;digo analizado sugiere que el archivo <span style="font-family: courier new, courier, monospace;">usbdev.ko</span> es un m&oacute;dulo controlador del kernel que funciona como rootkit para ocultar procesos. El backdoor FireWood se comunica con los controladores del kernel utilizando el <a href="https://en.wikipedia.org/wiki/Netlink" target="_blank" rel="noopener">protocolo Netlink</a>.</p> <p>FireWood utiliza un archivo de configuraci&oacute;n llamado <span style="font-family: courier new, courier, monospace;">kdeinit</span> que est&aacute; cifrado XOR con la clave de un byte <span style="font-family: courier new, courier, monospace;">0x26</span>. La estructura del archivo de configuraci&oacute;n se detalla en la Tabla 2.</p> <p style="text-align: center;"><em>Tabla 2. Offsets seleccionados y sus valores correspondientes del fichero de configuraci&oacute;n del backdoor FireWood</em></p> <p><table border="1" width="642" cellspacing="0" cellpadding="0"> <thead> <tr> <td width="75"><strong>Offset</strong></td> <td width="151"><strong>Value</strong></td> <td width="416"><strong>Meaning</strong></td> </tr> </thead> <tbody> <tr> <td width="75"><span style="font-family: courier new, courier, monospace;">0x00</span></td> <td width="151"><span style="font-family: courier new, courier, monospace;">20190531110402</span></td> <td width="416">Unknown timestamp.</td> </tr> <tr> <td width="75"><span style="font-family: courier new, courier, monospace;">0x28</span></td> <td width="151"><span style="font-family: courier new, courier, monospace;">AAAAAAAAAA</span></td> <td width="416">Placeholder for backdoor working directory.</td> </tr> <tr> <td width="75"><span style="font-family: courier new, courier, monospace;">0x3C</span></td> <td width="151"><span style="font-family: courier new, courier, monospace;">0.0.0.0</span></td> <td width="416">C&amp;C IP address (if 0.0.0.0, the backdoor uses the C&amp;C domain).</td> </tr> <tr> <td width="75"><span style="font-family: courier new, courier, monospace;">0x66</span></td> <td width="151"><span style="font-family: courier new, courier, monospace;">asidomain[.]com</span></td> <td width="416">C&amp;C domain.</td> </tr> <tr> <td width="75"><span style="font-family: courier new, courier, monospace;">0xCC</span></td> <td width="151"><span style="font-family: courier new, courier, monospace;">[scsi_eh_7]</span></td> <td width="416">Spoofed process name.</td> </tr> <tr> <td width="75"><span style="font-family: courier new, courier, monospace;">0x164</span></td> <td width="151"><span style="font-family: courier new, courier, monospace;">0x072BA1E6</span></td> <td width="416">TEA encryption key.</td> </tr> <tr> <td width="75"><span style="font-family: courier new, courier, monospace;">0x1E0</span></td> <td width="151"><span style="font-family: courier new, courier, monospace;">4</span></td> <td width="416">Connection day (backdoor connects every fourth day of the month).</td> </tr> <tr> <td width="75"><span style="font-family: courier new, courier, monospace;">0x1E4</span></td> <td width="151"><span style="font-family: courier new, courier, monospace;">5</span></td> <td width="416">Delay time.</td> </tr> <tr> <td width="75"><span style="font-family: courier new, courier, monospace;">0x1E8</span></td> <td width="151"><span style="font-family: courier new, courier, monospace;">0x0474</span></td> <td width="416">Connection time (in minutes).</td> </tr> </tbody> </table></p> <p>FireWood renombra su proceso bas&aacute;ndose en el valor de la configuraci&oacute;n.</p> <p>Para establecer la persistencia en el sistema, crea un archivo llamado <span style="font-family: courier new, courier, monospace; white-space: nowrap;">/.config/autostart/gnome-control.desktop</span>. Durante el arranque, todos los archivos con extensi&oacute;n <span style="font-family: courier new, courier, monospace; white-space: nowrap;">.desktop</span> en el directorio <span style="font-family: courier new, courier, monospace;">/.config/autostart/</span>son analizados, y cualquier comando listado en la entrada <span style="font-family: courier new, courier, monospace; white-space: nowrap;">Exec</span> es ejecutado. El contenido del archivo <span style="font-family: courier new, courier, monospace;">gnome-control.desktop</span> puede verse en la Figura 7.</p> <pre class="language-markup"><code>[Entrada de escritorio] Type=Application Exec=&lt;PATH/TO/OWN/EXECUTABLE&gt; Hidden=false NoDisplay=false X-GNOME-Autostart-enabled=true Name[en_US]=gnome-calculator Name=gnome-control Comment[en_US]=</code></pre> <p style="text-align: center;"><em>Figura 7. Contenido del archivo</em><em>&nbsp;</em><span style="font-family: courier new, courier, monospace;">gnome-control.desktop</span><em> utilizado para la persistencia por el backdoor FireWood</em></p> <p>FireWood se comunica con su servidor de C&amp;C v&iacute;a TCP, tal y como se especifica en su configuraci&oacute;n. Todos los datos se cifran utilizando el algoritmo de cifrado TEA con un n&uacute;mero variable de rondas. La clave de cifrado y el n&uacute;mero de rondas se proporcionan en el archivo de configuraci&oacute;n de FireWood, como se muestra en la Tabla 2. La estructura de los mensajes enviados y recibidos es la siguiente</p> <p>La estructura de los mensajes enviados y recibidos se muestra en la Figura 8. El resultado de la ejecuci&oacute;n de un comando var&iacute;a en funci&oacute;n del tipo de comando, pero normalmente, <span style="font-family: courier new, courier, monospace;">0x10181</span> indica &eacute;xito, mientras que <span style="font-family: courier new, courier, monospace;">0x10180</span> denota un error.</p> <pre class="language-markup"><code>struct data{ DWORD commandID_or_return_code_value ; BYTE data []; }</code></pre> <p style="text-align: center;"><em>Figura 8. Estructura data. para comunicaciones C&amp;C utilizada por el backdoor FireWood</em></p> <p>Este backdoor es capaz de ejecutar varios comandos, tal y como se describe en la Tabla 3.</p> <p style="text-align: center;"><em>Tabla 3. Comandos del backdoor FireWood</em></p> <p><table border="1" width="642" cellspacing="0" cellpadding="0"> <thead> <tr> <td width="113"><strong>Command ID</strong></td> <td width="529"><strong>Description</strong></td> </tr> </thead> <tbody> <tr> <td width="113"><span style="font-family: courier new, courier, monospace;">0x105</span></td> <td width="529">Download an executable file from the C&amp;C to <span style="font-family: courier new, courier, monospace;">&lt;PATH&gt;/tmpWood</span> and execute it with the &zwnj;<span style="font-family: courier new, courier, monospace;">‑UPDATE</span> parameter.</td> </tr> <tr> <td width="113"><span style="font-family: courier new, courier, monospace;">0x110</span></td> <td width="529">Execute a shell command using the <span style="font-family: courier new, courier, monospace;">popen</span> function.</td> </tr> <tr> <td width="113"><span style="font-family: courier new, courier, monospace;">0x111</span></td> <td width="529">Change connection time value in the configuration.</td> </tr> <tr> <td width="113"><span style="font-family: courier new, courier, monospace;">0x112</span></td> <td width="529">Hide a process using the <span style="font-family: courier new, courier, monospace;">usbdev.ko</span> kernel module.</td> </tr> <tr> <td width="113"><span style="font-family: courier new, courier, monospace;">0x113</span></td> <td width="529">Change delay time in configuration.</td> </tr> <tr> <td width="113"><span style="font-family: courier new, courier, monospace;">0x114</span></td> <td width="529">Change connection day value in configuration.</td> </tr> <tr> <td width="113"><span style="font-family: courier new, courier, monospace;">0x132</span></td> <td width="529">Clean up and exit.</td> </tr> <tr> <td width="113"><span style="font-family: courier new, courier, monospace;">0x181</span></td> <td width="529">List contents of the specified directory.</td> </tr> <tr> <td width="113"><span style="font-family: courier new, courier, monospace;">0x182</span></td> <td width="529">Exfiltrate specified file to C&amp;C server.</td> </tr> <tr> <td width="113"><span style="font-family: courier new, courier, monospace;">0x183</span></td> <td width="529">Delete specified file.</td> </tr> <tr> <td width="113"><span style="font-family: courier new, courier, monospace;">0x184</span></td> <td width="529">Rename specified file.</td> </tr> <tr> <td width="113"><span style="font-family: courier new, courier, monospace;">0x185</span></td> <td width="529">Execute specified file using the <span style="font-family: courier new, courier, monospace;">system</span> function.</td> </tr> <tr> <td width="113"><span style="font-family: courier new, courier, monospace;">0x186</span></td> <td width="529">Download file from C&amp;C server.</td> </tr> <tr> <td width="113"><span style="font-family: courier new, courier, monospace;">0x189</span></td> <td width="529">Exfiltrate specified folder to C&amp;C server.</td> </tr> <tr> <td width="113"><span style="font-family: courier new, courier, monospace;">0x193</span></td> <td width="529">Load specified kernel module or shared library.</td> </tr> <tr> <td width="113"><span style="font-family: courier new, courier, monospace;">0x194</span></td> <td width="529">Unload specified kernel module or shared library.</td> </tr> <tr> <td width="113"><span style="font-family: courier new, courier, monospace;">0x19F</span></td> <td width="529">Modify specified file timestamp.</td> </tr> <tr> <td width="113"><span style="font-family: courier new, courier, monospace;">0x200</span></td> <td width="529">Delete specified directory.</td> </tr> <tr> <td width="113"><span style="font-family: courier new, courier, monospace;">0x201</span></td> <td width="529">Read content of the specified file and send it to the C&amp;C server.</td> </tr> <tr> <td width="113"><span style="font-family: courier new, courier, monospace;">0x1018F</span></td> <td width="529">Search for the specified file in the folder defined in the command.</td> </tr> </tbody> </table></p> <h4>Otras herramientas</h4> <p>Descubrimos dos herramientas adicionales en los archivos, que podr&iacute;an estar relacionadas con la actividad de Gelsemium: el ladr&oacute;n de contrase&ntilde;as SSH y una peque&ntilde;a herramienta de escalada de privilegios.</p> <p>El ladr&oacute;n de contrase&ntilde;as SSH es un cliente SSH basado en el software de c&oacute;digo abierto <a href="https://www.openssh.com/" target="_blank" rel="noopener">OpenSSH</a>, modificado para recopilar las credenciales SSH de los usuarios necesarias para autenticar el acceso del usuario a un servidor. Los adversarios sustituyeron el binario original del cliente SSH en <span style="font-family: courier new, courier, monospace;">/usr/bin/ssh</span> por una versi&oacute;n troyanizada. Aunque funciona como un cliente SSH normal, guarda todos los datos de inicio de sesi&oacute;n en el formato <span style="font-family: courier new, courier, monospace;">&lt;USERNAME&gt;@&lt;HOST&gt;\t&lt;PASSWORD&gt;</span> en el archivo <span style="font-family: courier new, courier, monospace;">/tmp/zijtkldse.tmp</span>.</p> <p>La herramienta de escalada de privilegios es un peque&ntilde;o binario, llamado <span style="font-family: courier new, courier, monospace;">ccc</span>, que simplemente escala los privilegios del usuario poniendo a <span style="font-family: courier new, courier, monospace;">0</span> el UID y el GUID del contexto de ejecuci&oacute;n y ejecuta un programa en una ruta recibida como argumento. Para realizar esta t&eacute;cnica, el usuario debe tener privilegios de root para a&ntilde;adir permiso SUID a este ejecutable de antemano, lo que lo convierte en una herramienta para mantener privilegios m&aacute;s que para obtenerlos.</p> <h4>Webshells<a id="Webshells"></a></h4> <p>El <span style="font-family: courier new, courier, monospace;">login.jsp</span> es una webshell <a href="https://github.com/AntSwordProject/AntSword-JSP-Template" target="_blank" rel="noopener">JSP</a> modificada de <a href="https://github.com/AntSwordProject/AntSword-JSP-Template" target="_blank" rel="noopener">AntSword</a> que ejecuta bytecode Java de los atacantes. La carga &uacute;til, un archivo de clase Java, se codifica en base64 en el par&aacute;metro <span style="font-family: courier new, courier, monospace;">tiger</span> de una solicitud HTTP POST. La webshell original tambi&eacute;n admite terminal remoto, operaciones con archivos y operaciones con bases de datos.</p> <p>La webshell <span style="font-family: courier new, courier, monospace;">yy1.jsp</span>, que identificamos como icesword JSP, procede de foros de Internet, principalmente en chino. La webshell icesword JSP cuenta con una interfaz gr&aacute;fica de usuario completa dentro de su c&oacute;digo del lado del servidor, lo que le permite mostrar una interfaz gr&aacute;fica de usuario en el navegador del atacante. No est&aacute; ofuscado y recopila informaci&oacute;n del sistema, ejecuta comandos del sistema y realiza operaciones con archivos. Tambi&eacute;n se conecta a bases de datos SQL en el host comprometido y ejecuta consultas SQL.</p> <p>La webshell <span style="font-family: courier new, courier, monospace;">a.jsp</span>, similar a <span style="font-family: courier new, courier, monospace;">login.jsp</span> pero ofuscada, contiene una carga binaria Java cifrada con la clave <span style="font-family: courier new, courier, monospace;">6438B9BD2AB3C40A</span> y codificada en base64. La carga &uacute;til se proporciona en el par&aacute;metro <span style="font-family: courier new, courier, monospace;">Tas9er</span>. La ofuscaci&oacute;n incluye comentarios basura, cadenas Unicode con \u-escapado (que se hacen m&aacute;s dif&iacute;ciles de leer), y variables de cadena aleatorias y nombres de funciones. El resultado, codificado en base64 e insertado en la cadena <span style="font-family: courier new, courier, monospace;">1F2551A37335B564&lt;base64_encoded_result&gt;8EF53BE997851B95</span>, se env&iacute;a a los atacantes en el cuerpo de la respuesta.</p> <h2>Conclusi&oacute;n</h2> <p>Este informe describe el conjunto de herramientas de malware para Linux y sus conexiones con muestras de malware para Windows utilizadas por el grupo Gelsemium APT. Nos hemos centrado en las capacidades de los backdoors WolfsBane y FireWood, y hemos analizado la cadena de ejecuci&oacute;n de WolfsBane y su utilizaci&oacute;n del rootkit userland. Este es el primer informe p&uacute;blico que documenta el uso de malware para Linux por parte de Gelsemium, lo que supone un cambio notable en su estrategia operativa.</p> <p>La tendencia del malware hacia los sistemas Linux parece ir en aumento en el ecosistema de las APT. Desde nuestro punto de vista, esta evoluci&oacute;n puede atribuirse a varios avances en la seguridad del correo electr&oacute;nico y de los terminales. La adopci&oacute;n cada vez mayor de soluciones EDR, junto con la estrategia por defecto de Microsoft de desactivar las macros VBA, est&aacute;n dando lugar a un escenario en el que los adversarios se ven obligados a buscar otras posibles v&iacute;as de ataque.</p> <p>Como resultado, las vulnerabilidades presentes en la infraestructura orientada a Internet, en particular los sistemas basados en Linux, se est&aacute;n convirtiendo cada vez m&aacute;s en un objetivo. Esto significa que estos sistemas Linux se est&aacute;n convirtiendo en los nuevos objetivos preferidos de estos adversarios.</p> <blockquote> <div><em>Para cualquier consulta sobre nuestra investigaci&oacute;n publicada en WeLiveSecurity, por favor cont&aacute;ctenos en <a style="background-color: #f4f4f4;" href="mailto:threatintel@eset.com?utm_source=welivesecurity.com&amp;utm_medium=referral&amp;utm_campaign=autotagging&amp;utm_content=eset-research&amp;utm_term=en" target="_blank" rel="noopener">threatintel@eset.com.</a> </em></div> <div><em>ESET Research ofrece informes privados de inteligencia APT y feeds de datos. Para cualquier consulta sobre este servicio, visite la p&aacute;gina <a href="https://www.eset.com/int/business/services/threat-intelligence/?utm_source=welivesecurity.com&amp;utm_medium=referral&amp;utm_campaign=wls-research&amp;utm_content=unveiling-wolfsbane-gelsemiums-linux-counterpart-to-gelsevirine&amp;sfdccampaignid=7011n0000017htTAAQ" target="_blank" rel="noopener">de ESET Threat Intelligence</a>.</em></div> </blockquote> <h2>IoCs</h2> <p>Puede encontrar una lista completa de indicadores de compromiso (IoCs) y muestras en <a href="https://github.com/eset/malware-ioc/tree/master/gelsemium" target="_blank" rel="noopener">nuestro repositorio GitHub</a>.</p> <h3>Archivos</h3> <p><table border="1" width="642" cellspacing="0" cellpadding="0"> <thead> <tr> <td width="179"><strong>SHA-1</strong></td> <td width="170"><strong>Filename</strong></td> <td width="142"><strong>Detection</strong></td> <td width="151"><strong>Description</strong></td> </tr> </thead> <tbody> <tr> <td width="179"><span style="font-family: courier new, courier, monospace;"> </span> <span style="font-family: courier new, courier, monospace;">0FEF89711DA11C550D39<wbr />14DEBC0E663F5D2FB86C</span><br /><span style="font-family: courier new, courier, monospace;"> </span></td> <td width="170"><span style="font-family: courier new, courier, monospace;"> </span> <span style="font-family: courier new, courier, monospace;">dbus</span><br /><span style="font-family: courier new, courier, monospace;"> </span></td> <td width="142">Linux/Agent.WF</td> <td width="151">FireWood backdoor.</td> </tr> <tr> <td width="179"><span style="font-family: courier new, courier, monospace;"> </span> <span style="font-family: courier new, courier, monospace;">44947903B2BC760AC2E7<wbr />36B25574BE33BF7AF40B</span><br /><span style="font-family: courier new, courier, monospace;"> </span></td> <td width="170"><span style="font-family: courier new, courier, monospace;"> </span> <span style="font-family: courier new, courier, monospace;">libselinux.so</span><br /><span style="font-family: courier new, courier, monospace;"> </span></td> <td width="142">Linux/Rootkit.Agent.EC</td> <td width="151">WolfsBane Hider rootkit.</td> </tr> <tr> <td width="179"><span style="font-family: courier new, courier, monospace;"> </span> <span style="font-family: courier new, courier, monospace;">0AB53321BB9699D354A0<wbr />32259423175C08FEC1A4</span><br /><span style="font-family: courier new, courier, monospace;"> </span></td> <td width="170"><span style="font-family: courier new, courier, monospace;"> </span> <span style="font-family: courier new, courier, monospace;">udevd</span><br /><span style="font-family: courier new, courier, monospace;"> </span></td> <td width="142">Linux/Agent.WF</td> <td width="151">WolfsBane backdoor.</td> </tr> <tr> <td width="179"><span style="font-family: courier new, courier, monospace;"> </span> <span style="font-family: courier new, courier, monospace;">8532ECA04C0F58172D80<wbr />D8A446AE33907D509377</span><br /><span style="font-family: courier new, courier, monospace;"> </span></td> <td width="170"><span style="font-family: courier new, courier, monospace;"> </span> <span style="font-family: courier new, courier, monospace;">kde</span><br /><span style="font-family: courier new, courier, monospace;"> </span></td> <td width="142">Linux/Agent.WF</td> <td width="151">WolfsBane launcher.</td> </tr> <tr> <td width="179"><span style="font-family: courier new, courier, monospace;"> </span> <span style="font-family: courier new, courier, monospace;">B2A14E77C96640914399<wbr />E5F46E1DEC279E7B940F</span><br /><span style="font-family: courier new, courier, monospace;"> </span></td> <td width="170"><span style="font-family: courier new, courier, monospace;"> </span> <span style="font-family: courier new, courier, monospace;">cron</span><br /><span style="font-family: courier new, courier, monospace;"> </span></td> <td width="142">Linux/Agent.WF</td> <td width="151">WolfsBane dropper.</td> </tr> <tr> <td width="179"><span style="font-family: courier new, courier, monospace;"> </span> <span style="font-family: courier new, courier, monospace;">209C4994A42AF7832F52<wbr />6E09238FB55D5AAB34E5</span><br /><span style="font-family: courier new, courier, monospace;"> </span></td> <td width="170"><span style="font-family: courier new, courier, monospace;"> </span> <span style="font-family: courier new, courier, monospace;">ccc</span><br /><span style="font-family: courier new, courier, monospace;"> </span></td> <td width="142">Linux/Agent.WF</td> <td width="151">Privilege escalation helper tool.</td> </tr> <tr> <td width="179"><span style="font-family: courier new, courier, monospace;"> </span> <span style="font-family: courier new, courier, monospace;">F43D4D46BAE9AD963C2E<wbr />B05EF43E90AA3A5D88E3</span><br /><span style="font-family: courier new, courier, monospace;"> </span></td> <td width="170"><span style="font-family: courier new, courier, monospace;"> </span> <span style="font-family: courier new, courier, monospace;">ssh</span><br /><span style="font-family: courier new, courier, monospace;"> </span></td> <td width="142">Linux/SSHDoor.IC</td> <td width="151">Trojanized SSH client.</td> </tr> <tr> <td width="179"><span style="font-family: courier new, courier, monospace;"> </span> <span style="font-family: courier new, courier, monospace;">FD601A54BC622C041DF0<wbr />242662964A7ED31C6B9C</span><br /><span style="font-family: courier new, courier, monospace;"> </span></td> <td width="170"><span style="font-family: courier new, courier, monospace;"> </span> <span style="font-family: courier new, courier, monospace;">a.jsp</span><br /><span style="font-family: courier new, courier, monospace;"> </span></td> <td width="142">Java/Agent.BP</td> <td width="151">JSP webshell.</td> </tr> <tr> <td width="179"><span style="font-family: courier new, courier, monospace;"> </span> <span style="font-family: courier new, courier, monospace;">9F7790524BD759373AB5<wbr />7EE2AAFA6F5D8BCB918A</span><br /><span style="font-family: courier new, courier, monospace;"> </span></td> <td width="170"><span style="font-family: courier new, courier, monospace;"> </span> <span style="font-family: courier new, courier, monospace;">yy1.jsp</span><br /><span style="font-family: courier new, courier, monospace;"> </span></td> <td width="142">Java/JSP.J</td> <td width="151">icesword webshell.</td> </tr> <tr> <td width="179"><span style="font-family: courier new, courier, monospace;"> </span> <span style="font-family: courier new, courier, monospace;">238C8E8EB7A732D85D8A<wbr />7F7CA40B261D8AE4183D</span><br /><span style="font-family: courier new, courier, monospace;"> </span></td> <td width="170"><span style="font-family: courier new, courier, monospace;"> </span> <span style="font-family: courier new, courier, monospace;">login.jsp</span><br /><span style="font-family: courier new, courier, monospace;"> </span></td> <td width="142">Java/Webshell.AM</td> <td width="151">Modified AntSword JSP webshell.</td> </tr> <tr> <td width="179"><span style="font-family: courier new, courier, monospace;"> </span> <span style="font-family: courier new, courier, monospace;">F1DF0C5A74C9885CB593<wbr />4E3EEE5E7D3CF4D291C0</span><br /><span style="font-family: courier new, courier, monospace;"> </span></td> <td width="170"><span style="font-family: courier new, courier, monospace;"> </span> <span style="font-family: courier new, courier, monospace;">virus.tgz</span><br /><span style="font-family: courier new, courier, monospace;"> </span></td> <td width="142">Linux/Agent.WF</td> <td width="151">VirusTotal archive.</td> </tr> <tr> <td width="179"><span style="font-family: courier new, courier, monospace;"> </span> <span style="font-family: courier new, courier, monospace;">B3DFB40336C2F17EC740<wbr />51844FFAF65DDB874CFC</span><br /><span style="font-family: courier new, courier, monospace;"> </span></td> <td width="170"><span style="font-family: courier new, courier, monospace;"> </span> <span style="font-family: courier new, courier, monospace;">virus-b.tgz</span><br /><span style="font-family: courier new, courier, monospace;"> </span></td> <td width="142">Linux/Agent.WF</td> <td width="151">VirusTotal archive.</td> </tr> <tr> <td width="179"><span style="font-family: courier new, courier, monospace;"> </span> <span style="font-family: courier new, courier, monospace;">85528EAC10090AE743BC<wbr />F102B4AE7007B6468255</span><br /><span style="font-family: courier new, courier, monospace;"> </span></td> <td width="170"><span style="font-family: courier new, courier, monospace;"> </span> <span style="font-family: courier new, courier, monospace;">CHINA-APT-Trojan.zip</span><br /><span style="font-family: courier new, courier, monospace;"> </span></td> <td width="142">Java/Agent.BP</td> <td width="151">VirusTotal archive.</td> </tr> <tr> <td width="179"><span style="font-family: courier new, courier, monospace;"> </span> <span style="font-family: courier new, courier, monospace;">CDBBB6617D8937D17A1A<wbr />9EF12750BEE1CDDF4562</span><br /><span style="font-family: courier new, courier, monospace;"> </span></td> <td width="170"><span style="font-family: courier new, courier, monospace;"> </span> <span style="font-family: courier new, courier, monospace;">CHINA-APT-Trojan.zip</span><br /><span style="font-family: courier new, courier, monospace;"> </span></td> <td width="142">Linux/Rootkit.Agent.EC</td> <td width="151">VirusTotal archive.</td> </tr> <tr> <td width="179"><span style="font-family: courier new, courier, monospace;"> </span> <span style="font-family: courier new, courier, monospace;">843D6B0054D066845628<wbr />E2D5DB95201B20E12CD2</span><br /><span style="font-family: courier new, courier, monospace;"> </span></td> <td width="170"><span style="font-family: courier new, courier, monospace;"> </span> <span style="font-family: courier new, courier, monospace;">CHINA-APT-Trojan.zip</span><br /><span style="font-family: courier new, courier, monospace;"> </span></td> <td width="142">Linux/Rootkit.Agent.EC</td> <td width="151">VirusTotal archive.</td> </tr> <tr> <td width="179"><span style="font-family: courier new, courier, monospace;"> </span> <span style="font-family: courier new, courier, monospace;">BED9EFB245FAC8CFFF83<wbr />33AE37AD78CCFB7E2198</span><br /><span style="font-family: courier new, courier, monospace;"> </span></td> <td width="170"><span style="font-family: courier new, courier, monospace;"> </span> <span style="font-family: courier new, courier, monospace;">Xl1.zip</span><br /><span style="font-family: courier new, courier, monospace;"> </span></td> <td width="142">Linux/Rootkit.Agent.EC</td> <td width="151">VirusTotal archive.</td> </tr> <tr> <td width="179"><span style="font-family: courier new, courier, monospace;"> </span> <span style="font-family: courier new, courier, monospace;">600C59733444BC8A5F71<wbr />D41365368F3002465B10</span><br /><span style="font-family: courier new, courier, monospace;"> </span></td> <td width="170"><span style="font-family: courier new, courier, monospace;"> </span> <span style="font-family: courier new, courier, monospace;">CHINA-APT-Trojan.zip</span><br /><span style="font-family: courier new, courier, monospace;"> </span></td> <td width="142">Linux/Rootkit.Agent.EC</td> <td width="151">VirusTotal archive.</td> </tr> <tr> <td width="179"><span style="font-family: courier new, courier, monospace;"> </span> <span style="font-family: courier new, courier, monospace;">72DB8D1E3472150C1BE9<wbr />3B68F53F091AACC2234D</span><br /><span style="font-family: courier new, courier, monospace;"> </span></td> <td width="170"><span style="font-family: courier new, courier, monospace;"> </span> <span style="font-family: courier new, courier, monospace;">virus.tgz</span><br /><span style="font-family: courier new, courier, monospace;"> </span></td> <td width="142">Linux/Agent.WF</td> <td width="151">VirusTotal archive.</td> </tr> </tbody> </table></p> <h3>Red</h3> <p><table border="1" width="642" cellspacing="0" cellpadding="0"> <thead> <tr> <td width="85"><strong>IP</strong></td> <td width="142"><strong>Domain</strong></td> <td width="123"><strong>Hosting provider</strong></td> <td width="95"><strong>First seen</strong></td> <td width="199"><strong>Details</strong></td> </tr> </thead> <tbody> <tr> <td width="85">N/A</td> <td width="142"><span style="font-family: courier new, courier, monospace;">dsdsei[.]com</span></td> <td width="123">N/A</td> <td width="95">2020⁠-⁠08⁠-⁠16</td> <td width="199">WolfsBane backdoor C&amp;C server.</td> </tr> <tr> <td width="85">N/A</td> <td width="142"><span style="font-family: courier new, courier, monospace;">asidomain[.]com</span></td> <td width="123">N/A</td> <td width="95">2022⁠-⁠01⁠-⁠26</td> <td width="199">FireWood backdoor C&amp;C server.</td> </tr> </tbody> </table></p> <h2>T&eacute;cnicas ATT&amp;CK de MITRE</h2> <p>Esta tabla se ha elaborado utilizando <a href="https://attack.mitre.org/resources/versions/" target="_blank" rel="noopener">la versi&oacute;n 15</a> del marco MITRE ATT&amp;CK.</p> <p><table style="height: 1907px;" border="1" width="642" cellspacing="0" cellpadding="0"> <thead> <tr style="height: 73px;"> <td style="height: 73px;" width="113"> <p><strong>Tactic</strong></p> </td> <td style="height: 73px;" width="113"> <p><strong>ID</strong></p> </td> <td style="height: 73px;" width="191"> <p><strong>Name</strong></p> </td> <td style="height: 73px;" width="225"> <p><strong>Description</strong></p> </td> </tr> </thead> <tbody> <tr style="height: 70px;"> <td style="height: 212px;" rowspan="3" width="113"> <p><strong>Resource Development</strong></p> </td> <td style="height: 70px;" width="113"> <p><a href="https://attack.mitre.org/versions/v15/techniques/T1583/001">T1583.001</a></p> </td> <td style="height: 70px;" width="191"> <p>Acquire Infrastructure: Domains</p> </td> <td style="height: 70px;" width="225"> <p>Gelsemium has registered domains through commercial providers.</p> </td> </tr> <tr style="height: 71px;"> <td style="height: 71px;" width="113"> <p><a href="https://attack.mitre.org/versions/v15/techniques/T1583/004">T1583.004</a></p> </td> <td style="height: 71px;" width="191"> <p>Acquire Infrastructure: Server</p> </td> <td style="height: 71px;" width="225"> <p>Gelsemium most likely acquires VPS from commercial providers.</p> </td> </tr> <tr style="height: 71px;"> <td style="height: 71px;" width="113"> <p><a href="https://attack.mitre.org/versions/v15/techniques/T1587/001">T1587.001</a></p> </td> <td style="height: 71px;" width="191"> <p>Develop Capabilities: Malware</p> </td> <td style="height: 71px;" width="225"> <p>Gelsemium develops its own custom malware.</p> </td> </tr> <tr style="height: 71px;"> <td style="height: 71px;" width="113"> <p><strong>Execution</strong></p> </td> <td style="height: 71px;" width="113"> <p><a href="https://attack.mitre.org/versions/v15/techniques/T1059/004">T1059.004</a></p> </td> <td style="height: 71px;" width="191"> <p>Command-Line Interface: Unix Shell</p> </td> <td style="height: 71px;" width="225"> <p>Gelsemium malware is capable of executing Linux shell commands.</p> </td> </tr> <tr style="height: 92px;"> <td style="height: 368px;" rowspan="4" width="113"> <p><strong>Persistence</strong></p> </td> <td style="height: 92px;" width="113"> <p><a href="https://attack.mitre.org/versions/v15/techniques/T1037/004">T1037.004</a></p> </td> <td style="height: 92px;" width="191"> <p>Boot or Logon Initialization Scripts: RC Scripts</p> </td> <td style="height: 92px;" width="225"> <p>The WolfsBane launcher remains persistent on the system by using RC startup scripts.</p> </td> </tr> <tr style="height: 92px;"> <td style="height: 92px;" width="113"> <p><a href="https://attack.mitre.org/versions/v15/techniques/T1543/002">T1543.002</a></p> </td> <td style="height: 92px;" width="191"> <p>Create or Modify System Process: Systemd Service</p> </td> <td style="height: 92px;" width="225"> <p>The WolfsBane dropper can create a new system service for persistence.</p> </td> </tr> <tr style="height: 92px;"> <td style="height: 92px;" width="113"> <p><a href="https://attack.mitre.org/versions/v15/techniques/T1574/006">T1574.006</a></p> </td> <td style="height: 92px;" width="191"> <p>Hijack Execution Flow: Dynamic Linker Hijacking</p> </td> <td style="height: 92px;" width="225"> <p>The WolfsBane Hider rootkit abuses the <span style="font-family: courier new, courier, monospace;">ld.so.preload</span> preload technique.</p> </td> </tr> <tr style="height: 92px;"> <td style="height: 92px;" width="113"> <p><a href="https://attack.mitre.org/versions/v15/techniques/T1547/013">T1547.013</a></p> </td> <td style="height: 92px;" width="191"> <p>Boot or Logon Autostart Execution: XDG Autostart Entries</p> </td> <td style="height: 92px;" width="225"> <p>The FireWood backdoor persists on the system by creating the <span style="font-family: courier new, courier, monospace;">gnome-control.desktop</span> autostart file.</p> </td> </tr> <tr style="height: 92px;"> <td style="height: 184px;" rowspan="2" width="113"> <p><strong>Privilege Escalation</strong></p> </td> <td style="height: 92px;" width="113"> <p><a href="https://attack.mitre.org/versions/v15/techniques/T1546/004">T1546.004</a></p> </td> <td style="height: 92px;" width="191"> <p>Event Triggered Execution: .bash_profile and .bashrc</p> </td> <td style="height: 92px;" width="225"> <p>The WolfsBane dropper tampers with various shell configuration files to achieve persistence.</p> </td> </tr> <tr style="height: 92px;"> <td style="height: 92px;" width="113"> <p><a href="https://attack.mitre.org/versions/v15/techniques/T1548/001">T1548.001</a></p> </td> <td style="height: 92px;" width="191"> <p>Abuse Elevation Control Mechanism: Setuid and Setgid</p> </td> <td style="height: 92px;" width="225"> <p>Gelsemium uses a simple tool abusing setuid and setguid for keeping escalated privileges.</p> </td> </tr> <tr style="height: 71px;"> <td style="height: 673px;" rowspan="8" width="113"> <p><strong>Defense Evasion</strong></p> </td> <td style="height: 71px;" width="113"> <p><a href="https://attack.mitre.org/versions/v15/techniques/T1070/004">T1070.004</a></p> </td> <td style="height: 71px;" width="191"> <p>Indicator Removal: File Deletion</p> </td> <td style="height: 71px;" width="225"> <p>The WolfsBane dropper removes itself.</p> </td> </tr> <tr style="height: 92px;"> <td style="height: 92px;" width="113"> <p><a href="https://attack.mitre.org/versions/v15/techniques/T1070/006">T1070.006</a></p> </td> <td style="height: 92px;" width="191"> <p>Indicator Removal: Timestomp</p> </td> <td style="height: 92px;" width="225"> <p>The FireWood backdoor has a command for modifying the MAC time of files.</p> </td> </tr> <tr style="height: 71px;"> <td style="height: 71px;" width="113"> <p><a href="https://attack.mitre.org/versions/v15/techniques/T1070/009">T1070.009</a></p> </td> <td style="height: 71px;" width="191"> <p>Indicator Removal: Clear Persistence</p> </td> <td style="height: 71px;" width="225"> <p>The WolfsBane dropper removes itself from disk.</p> </td> </tr> <tr style="height: 92px;"> <td style="height: 92px;" width="113"> <p><a href="https://attack.mitre.org/versions/v15/techniques/T1564/001">T1564.001</a></p> </td> <td style="height: 92px;" width="191"> <p>Hide Artifacts: Hidden Files and Directories</p> </td> <td style="height: 92px;" width="225"> <p>Both the WolfsBane and FireWood backdoors are located/installed in hidden folders.</p> </td> </tr> <tr style="height: 92px;"> <td style="height: 92px;" width="113"> <p><a href="https://attack.mitre.org/versions/v15/techniques/T1222/002">T1222.002</a></p> </td> <td style="height: 92px;" width="191"> <p>File Permissions Modification: Linux and Mac File and Directory Permissions Modification</p> </td> <td style="height: 92px;" width="225"> <p>The WolfsBane dropper uses Linux chmod commands to modify permissions of dropped executables.</p> </td> </tr> <tr style="height: 92px;"> <td style="height: 92px;" width="113"> <p><a href="https://attack.mitre.org/versions/v15/techniques/T1027/009">T1027.009</a></p> </td> <td style="height: 92px;" width="191"> <p>Obfuscated Files or Information: Embedded Payloads</p> </td> <td style="height: 92px;" width="225"> <p>The WolfsBane dropper has all its payloads compressed and embedded.</p> </td> </tr> <tr style="height: 71px;"> <td style="height: 71px;" width="113"> <p><a href="https://attack.mitre.org/versions/v15/techniques/T1014">T1014</a></p> </td> <td style="height: 71px;" width="191"> <p>Rootkit</p> </td> <td style="height: 71px;" width="225"> <p>Both WolfsBane and FireWood malware utilize rootkits for evasion.</p> </td> </tr> <tr style="height: 92px;"> <td style="height: 92px;" width="113"> <p><a href="https://attack.mitre.org/versions/v15/techniques/T1036/005">T1036.005</a></p> </td> <td style="height: 92px;" width="191"> <p>Masquerading: Match Legitimate Name or Location</p> </td> <td style="height: 92px;" width="225"> <p>Gelsemium often names its malware to match legitimate files and folders.</p> </td> </tr> <tr style="height: 71px;"> <td style="height: 163px;" rowspan="2" width="113"> <p><strong>Discovery</strong></p> </td> <td style="height: 71px;" width="113"> <p><a href="https://attack.mitre.org/versions/v15/techniques/T1082">T1082</a></p> </td> <td style="height: 71px;" width="191"> <p>System Information Discovery</p> </td> <td style="height: 71px;" width="225"> <p>The WolfsBane dropper enumerates system information.</p> </td> </tr> <tr style="height: 92px;"> <td style="height: 92px;" width="113"> <p><a href="https://attack.mitre.org/versions/v15/techniques/T1083">T1083</a></p> </td> <td style="height: 92px;" width="191"> <p>File and Directory Discovery</p> </td> <td style="height: 92px;" width="225"> <p>The FireWood backdoor is capable of searching in the machine file system for specified files and folders.</p> </td> </tr> <tr style="height: 71px;"> <td style="height: 71px;" width="113"> <p><strong>Collection</strong></p> </td> <td style="height: 71px;" width="113"> <p><a href="https://attack.mitre.org/versions/v15/techniques/T1056">T1056</a></p> </td> <td style="height: 71px;" width="191"> <p>Input Capture</p> </td> <td style="height: 71px;" width="225"> <p>The SSH password stealer captures user credentials.</p> </td> </tr> <tr style="height: 92px;"> <td style="height: 92px;" width="113"> <p><strong>Exfiltration</strong></p> </td> <td style="height: 92px;" width="113"> <p><a href="https://attack.mitre.org/versions/v15/techniques/T1041">T1041</a></p> </td> <td style="height: 92px;" width="191"> <p>Exfiltration Over C2 Channel</p> </td> <td style="height: 92px;" width="225"> <p>The FireWood backdoor exfiltrates collected data utilizing C&amp;C communications.</p> </td> </tr> </tbody> </table></p> <p><a href="https://www.eset.com/int/business/services/threat-intelligence/?utm_source=welivesecurity.com&amp;utm_medium=referral&amp;utm_campaign=wls-research&amp;utm_content=unveiling-wolfsbane-gelsemiums-linux-counterpart-to-gelsevirine&amp;sfdccampaignid=7011n0000017htTAAQ" target="_blank" rel="noopener"><img src="https://web-assets.esetstatic.com/wls/2023/2023-12/welivesecurity-eset-threat-intelligence.jpeg" alt="" width="915" height="296" /></a></p> </div> <div class="article-subscribe-form mb-4"> <hr /> <div class="form-wrapper"> <div class="overlay"> <h2 class="title"> ¿Quieres recibir nuestros mejores contenidos? </h2> <p class="subtitle"> Suscríbete a nuestro newsletter </p> <div class="form"> <form action="https://enjoy.eset.com/pub/rf" class="basic-searchform col-md-12 col-sm-12 col-xs-12 no-padding newsletter px-0" target="_blank" method="post" role="search"> <div class="search-input clearfix"> <input type="text" name="EMAIL_ADDRESS_" value="" placeholder="Tu dirección de correo" required> <input type="checkbox" id="TOPIC" name="TOPIC" value="We Live Security ES Ukraine Newsletter"> <label for="TOPIC">Newsletter sobre Crisis en Ucrania</label> <input type="checkbox" id="NEWSLETTER" name="NEWSLETTER" value="We Live Security ES"> <label for="NEWSLETTER">Newsletter semanal</label> <input type="hidden" name="_ri_" value="X0Gzc2X%3DAQpglLjHJlTQGgXv4jDGEK4KW2uhw0qgUzfwuivmOJOPCgzgo9vsI3VwjpnpgHlpgneHmgJoXX0Gzc2X%3DAQpglLjHJlTQGzbD6yU2pAgzaJM16bkTA7tOwuivmOJOPCgzgo9vsI3"> <input type="hidden" name="_ei_" value="Ep2VKa8UKNIAPP_2GAEW0bY"> <input type="hidden" name="_di_" value="m0a5n0j02duo9clmm4btuu5av8rdtvqfqd03v1hallrvcob47ad0"> <input type="hidden" name="EMAIL_PERMISSION_STATUS_" value="0"> <input type="hidden" name="CONTACT_SOURCE_MOST_RECENT" value="WLS_Subscribe_Form"> <button type="submit" class="redirect-button primary">Suscríbete</button> </div> </form> </div> </div> <svg class="wave-overlay" xmlns="http://www.w3.org/2000/svg" viewBox="0 0 600 201.7451"><g><path class="cls-1" d="m600,0v176.576c0,13.8934-11.2757,25.1691-25.1691,25.1691H25.1691c-13.9034,0-25.1691-11.2757-25.1691-25.1691v-110.6331c36.0722,38.8207,82.2223,71.8325,145.2255,88.6052.0402,0,.0805.0101.1107.0301,0,0,.0906,0,.1107.0302,108.7605,28.9444,198.3321-8.95,271.9366-49.865l29.5585-16.9537L600,0Z" /></g></svg></div> </div> <div class="d-block"> <div class="post-related-articles"> <h4 class="articles-title-divider py-4 my-2"> Artículos relacionados </h4> <div class="articles-card-grid row g-0 pb-2 pb-md-3"><div class="col-12 col-sm-12 col-md-6 col-lg-4 article"><div class="card-divider"><hr class="articles-card-divider px-0 m-0" /></div><div class="article-card"><a href="/es/investigaciones/analisis-del-infame-backend-de-redline-stealer/" title="Análisis del infame backend de RedLine Stealer"><div class="row g-0 row-cols-1"><div class="article-list-card-header col"><div class="row g-0"><div class="col-9 d-md-none pe-3"><div class="article-list-card-title"><p class="category text-uppercase">Investigaciones, Featured</p><p class="title">Análisis del infame backend de RedLine Stealer</p></div></div><div class="col-3 col-md-12"><picture><source srcset="https://web-assets.esetstatic.com/tn/-x82/wls/2024/11-2024/redline/redline-stealer-infostealer-malware.jpeg" media="(max-width: 768px)" /><img class="article-list-image small-card mt-1 mt-md-0 w-100" src="https://web-assets.esetstatic.com/tn/-x145/wls/2024/11-2024/redline/redline-stealer-infostealer-malware.jpeg" alt="Análisis del infame backend de RedLine Stealer" loading="lazy" /></picture></div></div></div><div class="article-list-card-body col ps-0"><div class="d-none d-md-block pb-1"><div class="article-list-card-title"><p class="category text-uppercase">Investigaciones, Featured</p><p class="title">Análisis del infame backend de RedLine Stealer</p></div></div><div><div class="article-title-info"><p><b></b></p></div></div></div></div></a></div></div><div class="col-12 col-sm-12 col-md-6 col-lg-4 article"><div class="card-divider"><hr class="articles-card-divider px-0 m-0" /></div><div class="article-card"><a href="/es/informes/reporte-actividad-apt-segundo-tercer-trimestre-2024/" title="Reporte de actividad APT del segundo y tercer trimestre de 2024"><div class="row g-0 row-cols-1"><div class="article-list-card-header col"><div class="row g-0"><div class="col-9 d-md-none pe-3"><div class="article-list-card-title"><p class="category text-uppercase">Informes, Featured</p><p class="title">Reporte de actividad APT del segundo y tercer trimestre de 2024</p></div></div><div class="col-3 col-md-12"><picture><source srcset="https://web-assets.esetstatic.com/tn/-x82/wls/2024/10-2024/apt-activity-report-eset.jpeg" media="(max-width: 768px)" /><img class="article-list-image small-card mt-1 mt-md-0 w-100" src="https://web-assets.esetstatic.com/tn/-x145/wls/2024/10-2024/apt-activity-report-eset.jpeg" alt="Reporte de actividad APT del segundo y tercer trimestre de 2024" loading="lazy" /></picture></div></div></div><div class="article-list-card-body col ps-0"><div class="d-none d-md-block pb-1"><div class="article-list-card-title"><p class="category text-uppercase">Informes, Featured</p><p class="title">Reporte de actividad APT del segundo y tercer trimestre de 2024</p></div></div><div><div class="article-title-info"><p><b></b></p></div></div></div></div></a></div></div><div class="col-12 col-sm-12 col-md-6 col-lg-4 article"><div class="card-divider"><hr class="articles-card-divider px-0 m-0" /></div><div class="article-card"><a href="/es/investigaciones/cloudscout-evasive-panda-busca-servicios-nube/" title="CloudScout: Cómo Evasive Panda exfiltra datos de servicios en la nube mediante el robo de cookies de sesión"><div class="row g-0 row-cols-1"><div class="article-list-card-header col"><div class="row g-0"><div class="col-9 d-md-none pe-3"><div class="article-list-card-title"><p class="category text-uppercase">Investigaciones, Featured</p><p class="title">CloudScout: Cómo Evasive Panda exfiltra datos de servicios en la nube mediante el robo de cookies de sesión</p></div></div><div class="col-3 col-md-12"><picture><source srcset="https://web-assets.esetstatic.com/tn/-x82/wls/2024/10-2024/cloudscout/cloudscout-evasive-panda-cloud-eset-research.jpeg" media="(max-width: 768px)" /><img class="article-list-image small-card mt-1 mt-md-0 w-100" src="https://web-assets.esetstatic.com/tn/-x145/wls/2024/10-2024/cloudscout/cloudscout-evasive-panda-cloud-eset-research.jpeg" alt="CloudScout: Cómo Evasive Panda exfiltra datos de servicios en la nube mediante el robo de cookies de sesión" loading="lazy" /></picture></div></div></div><div class="article-list-card-body col ps-0"><div class="d-none d-md-block pb-1"><div class="article-list-card-title"><p class="category text-uppercase">Investigaciones, Featured</p><p class="title">CloudScout: Cómo Evasive Panda exfiltra datos de servicios en la nube mediante el robo de cookies de sesión</p></div></div><div><div class="article-title-info"><p><b></b></p></div></div></div></div></a></div></div></div></div> </div> </div> <div class="sidebar col col-lg-4 ps-5 d-none d-lg-block position-sticky"> <div class="sticky-top sticky-top--container"> <div class="short-articles-section"> <h3 class="articles-title-divider short-aticles-title pb-4"> Artículos similares </h3> <div class="articles"> <div class="article-list-card"><a href="/es/investigaciones/nspx30-un-sofisticado-implante-habilitado-para-aitm-en-evolucion-desde-2005/" title="NSPX30: un sofisticado implante habilitado para AitM en evolución desde 2005"><div class="row g-0 row-cols-1"><div class="article-list-card-header col"><div class="row g-0"><div class="text-card col-9 col-sm-10 col-md-9"><div class="article-list-card-title"><p class="category text-uppercase">Investigaciones</p><p class="title">NSPX30: un sofisticado implante habilitado para AitM en evolución desde 2005</p></div></div><div class="image-card col-3 col-sm-2 col-md-3"><picture><source srcset="https://web-assets.esetstatic.com/tn/-x45/wls/2024/1-2024/nspx30/nspx30-aitm-implant-blackwood-apt-eset-threat-research.jpeg" media="(max-width: 768px)" /><img class="article-list-image mt-1 mt-md-0 w-100" src="https://web-assets.esetstatic.com/tn/-x82/wls/2024/1-2024/nspx30/nspx30-aitm-implant-blackwood-apt-eset-threat-research.jpeg" alt="NSPX30: un sofisticado implante habilitado para AitM en evolución desde 2005" /></picture></div></div></div></div></a></div> <hr> <div class="article-list-card"><a href="/la-es/2021/06/09/gelsemium-malware-complejo-modular-utilizado-grupo-cibersespionaje/" title="Gelsemium: un malware complejo y modular utilizado por grupo de cibersespionaje"><div class="row g-0 row-cols-1"><div class="article-list-card-header col"><div class="row g-0"><div class="text-card col-9 col-sm-10 col-md-9"><div class="article-list-card-title"><p class="category text-uppercase">Investigaciones</p><p class="title">Gelsemium: un malware complejo y modular utilizado por grupo de cibersespionaje</p></div></div><div class="image-card col-3 col-sm-2 col-md-3"><picture><source srcset="https://web-assets.esetstatic.com/tn/-x45/wls/2021/06/gelsemium-apt-eset-malware-research.jpg" media="(max-width: 768px)" /><img class="article-list-image mt-1 mt-md-0 w-100" src="https://web-assets.esetstatic.com/tn/-x82/wls/2021/06/gelsemium-apt-eset-malware-research.jpg" alt="Gelsemium: un malware complejo y modular utilizado por grupo de cibersespionaje" /></picture></div></div></div></div></a></div> <hr> <div class="article-list-card"><a href="/la-es/2021/02/01/ataque-cadena-suministro-apunta-jugadores-videojuegos-online/" title="Operación NightScout: ataque de cadena de suministro apunta a jugadores de videojuegos online"><div class="row g-0 row-cols-1"><div class="article-list-card-header col"><div class="row g-0"><div class="text-card col-9 col-sm-10 col-md-9"><div class="article-list-card-title"><p class="category text-uppercase"></p><p class="title">Operación NightScout: ataque de cadena de suministro apunta a jugadores de videojuegos online</p></div></div><div class="image-card col-3 col-sm-2 col-md-3"><picture><source srcset="https://web-assets.esetstatic.com/tn/-x45/wls/2021/02/operation-nightscout-gaming-asia-supply-chain.jpg" media="(max-width: 768px)" /><img class="article-list-image mt-1 mt-md-0 w-100" src="https://web-assets.esetstatic.com/tn/-x82/wls/2021/02/operation-nightscout-gaming-asia-supply-chain.jpg" alt="Operación NightScout: ataque de cadena de suministro apunta a jugadores de videojuegos online" /></picture></div></div></div></div></a></div> <hr> </div> </div> <div class="pb-4"> <div class="share-article-card"> <div class="sidebar-card-media"> <div class="mb-3"> <h3 class="articles-title-divider">Compartir</h3> </div> <div class="medias"> <a href="https://www.facebook.com/sharer/sharer.php?u&#x3D;https://www.welivesecurity.com/es/investigaciones/analisis-wolfsbane-nuevo-backdoor-linux-grupo-apt-gelsemiun/" title="Facebook" > <svg id="Layer_2" fill="#949ca1" class="facebook" xmlns="http://www.w3.org/2000/svg" width="35" height="35" viewBox="0 0 50 50"><g id="Layer_2-2"><circle cx="25" cy="25" r="25" /><path fill="white"d="m30.9623,26.8125l.8054-5.2483h-5.0359v-3.4058c0-1.4358.7035-2.8354,2.9589-2.8354h2.2894v-4.4684s-2.0776-.3546-4.064-.3546c-4.1472,0-6.858,2.5137-6.858,7.0642v4h-4.61v5.2483h4.61v12.6875h5.6737v-12.6875h4.2305Z" /></g></svg> </a> <a href="https://www.linkedin.com/shareArticle?mini&#x3D;true&amp;url&#x3D;https://www.welivesecurity.com/es/investigaciones/analisis-wolfsbane-nuevo-backdoor-linux-grupo-apt-gelsemiun/" title="LinkedIn" > <svg id="Layer_2" fill="#949ca1" class="linkedin" xmlns="http://www.w3.org/2000/svg" width="35" height="35" viewBox="0 0 50 50"><g id="Layer_2-2"><circle cx="25" cy="25" r="25" /><path fill="white"d="m18.7686,35.9995h-4.9757v-16.0232h4.9757v16.0232Zm-2.4905-18.2089c-1.5911,0-2.8816-1.3179-2.8816-2.9089.0002-1.5915,1.2906-2.8814,2.882-2.8812,1.5911.0002,2.881,1.29,2.8812,2.8812,0,1.5911-1.2911,2.9089-2.8816,2.9089Zm21.113,18.2089h-4.965v-7.8c0-1.8589-.0375-4.2429-2.587-4.2429-2.587,0-2.9834,2.0196-2.9834,4.1089v7.9339h-4.9704v-16.0232h4.7721v2.1857h.0696c.6643-1.2589,2.287-2.5875,4.7079-2.5875,5.0357,0,5.9614,3.3161,5.9614,7.6232v8.8018h-.0054Z" /></g></svg> </a> <a href="https://twitter.com/intent/tweet?url&#x3D;https://www.welivesecurity.com/es/investigaciones/analisis-wolfsbane-nuevo-backdoor-linux-grupo-apt-gelsemiun/" title="Twitter" > <svg id="Layer_2" fill="#949ca1" class="twitter" xmlns="http://www.w3.org/2000/svg" width="35" height="35" viewBox="0 0 50 50"><g id="Layer_2-2"><circle cx="25" cy="25" r="25" /><g id="twitter"><g id="Layer_2-3"><g id="Research_icons"><path id="twitter-2" fill="white"d="m36.0847,16.9564c1.1786-.1395,2.3298-.4543,3.4153-.934-.7998,1.1935-1.8049,2.2357-2.9686,3.0783v.7675c0,7.8581-5.9779,16.9184-16.9184,16.9184-3.2314.004-6.3954-.9238-9.113-2.6722.4703.0571.9436.0856,1.4173.0853,2.6784.0044,5.2803-.8925,7.3871-2.5463-2.5446-.0467-4.7777-1.7068-5.5555-4.1301.3681.0703.742.1056,1.1168.1056.5293,0,1.0564-.0696,1.5676-.2071-2.775-.5608-4.7696-3.0006-4.7677-5.8317v-.0731c.826.4573,1.7488.712,2.6925.7432-2.6116-1.7476-3.4122-5.2258-1.8275-7.9394,3.0149,3.7157,7.4653,5.9771,12.2441,6.2215-.7617-3.1963,1.2119-6.4049,4.4082-7.1666,2.0894-.4979,4.285.1691,5.7444,1.7451,1.3319-.2639,2.6091-.7528,3.7768-1.4457-.4477,1.3745-1.3782,2.5402-2.6194,3.2813Z" /></g></g></g></g></svg> </a> <a href="mailto:?&amp;subject&#x3D;I wanted you to see this site&amp;body&#x3D;https://www.welivesecurity.com/es/investigaciones/analisis-wolfsbane-nuevo-backdoor-linux-grupo-apt-gelsemiun/" title="mail" > <svg id="Layer_2" fill="#949ca1" class="social-icon" xmlns="http://www.w3.org/2000/svg" width="35" height="35" viewBox="0 0 50 50"><g id="Layer_2-2"><circle cx="25" cy="25" r="25" /><path id="Path_7761" fill="white"d="m13.1593,14.9378c-.2808,0-.5616.0936-.8424.1872l11.8875,11.5131c.3744.468,1.0296.468,1.404.0936.0936,0,.0936-.0936.0936-.0936l12.0747-11.5131c-.2808-.0936-.5616-.1872-.7488-.1872H13.1593Zm-2.1529,1.9656v15.8188c-.0936,1.2168.8424,2.2465,2.0593,2.3401h23.8686c1.2168-.0936,2.1529-1.1232,2.0593-2.3401v-15.7252l-11.7939,11.3259c-1.2168,1.2168-3.1825,1.2168-4.3057,0l-11.8875-11.4195Z" /></g></svg> </a> <a href="https://www.welivesecurity.com/es/investigaciones/analisis-wolfsbane-nuevo-backdoor-linux-grupo-apt-gelsemiun/" title="copy" class="copy-link" > <svg id="Layer_2" fill="#949ca1" class="social-icon" xmlns="http://www.w3.org/2000/svg" width="35" height="35" viewBox="0 0 50 50"><g id="Layer_2-2"><circle cx="25" cy="25" r="25" /><path fill="white"d="m32.2813,27.4375l3.7-3.7c2.7-2.7,2.7-7,0-9.7-2.7-2.7-7-2.7-9.7,0h0l-5.3,5.3c-2.7,2.7-2.7,7,0,9.7.4.4.8.7,1.3,1l2.8-2.8c-.6-.1-1.1-.4-1.5-.8-1.2-1.2-1.2-3.2,0-4.4l5.3-5.3c1.3-1.2,3.2-1.1,4.4.1,1.1,1.2,1.1,3.1,0,4.3l-1.6,1.6c.7,1.4.9,3.1.6,4.7h0Zm-14.7-4.7l-3.6,3.6c-2.7,2.7-2.6,7,0,9.7,2.7,2.6,6.9,2.6,9.6,0l5.3-5.3c2.7-2.7,2.7-7,0-9.7-.4-.4-.8-.7-1.3-1l-2.8,2.8c1.7.4,2.7,2.1,2.3,3.7-.1.6-.4,1.1-.8,1.5l-5.3,5.4c-1.2,1.3-3.1,1.3-4.4.1-1.3-1.2-1.3-3.1-.1-4.4,0-.1.1-.1.1-.1l1.6-1.5c-.7-1.6-.9-3.2-.6-4.8h0Z" /></g></svg> </a> </div> </div> </div> </div> <div class="pb-4"> <a class="d-block sidebar-card-banner" href="https://open.spotify.com/show/0Q32tisjNy7eCYwUNHphcw" title="Conexion Segura" target="_blank"> <img src="https://www.welivesecurity.com/build/assets/podcast_es-c95d41f8.webp" alt="Conexion Segura" class="w-100" > </a> </div> </div> </div> </div> <div class="row"> <div class="col col-lg-8 pe-lg-0"> <div class="my-4"> <h3 class="articles-title-divider">Discusión</h3> </div> <div id="disqus_thread"></div> </div> </div> </div> </div> <!-- footer --> <footer class="page-footer"> <div class="container"> <div class="row g-0"> <div class="col page-info-wrapper"> <div class="logo-wrapper"> <div class="logo"> <a href="/es/" title="Welivesecurity"> <?xml version="1.0" encoding="UTF-8"?><svg id="Layer_2" xmlns="http://www.w3.org/2000/svg" viewBox="0 0 290 31.7919"><defs><style>.cls-1{fill:#0b8690;}.cls-2{fill:#053b44;}</style></defs><g id="Layer_1-2"><g><path class="cls-2" d="M0,8.6081H5.1069l2.869,10.7299,3.3282-10.845h4.3616l3.3833,10.845,2.9261-10.7879h4.9947l-5.51,17.8465h-4.5336l-3.3833-10.903-3.5012,10.903H5.451L0,8.6081Zm26.6257,9.0093h0c0-5.1069,3.6153-9.2964,8.7792-9.2964,5.9102,0,8.6651,4.5907,8.6651,9.6405,0,.4021-.057,.8603-.057,1.3195h-12.3955c.3233,2.123,2.219,3.6443,4.3616,3.5003,1.6303,.0269,3.1951-.6409,4.3036-1.8367l2.8729,2.5259c-1.7441,2.1958-4.4284,3.4313-7.2306,3.3282-4.9064,.227-9.0678-3.5664-9.2947-8.4728-.0109-.236-.0124-.4724-.0045-.7085Zm12.5095-1.4916c-.29-2.2378-1.6066-3.7874-3.7303-3.7874s-3.4432,1.4916-3.8444,3.7874h7.5747Zm57.842,7.9179l2.1266-3.3282c1.5999,1.2513,3.5393,1.9923,5.566,2.1267,1.4345,0,2.1266-.5162,2.1266-1.3195v-.057c0-1.0904-1.7216-1.4345-3.6733-2.0658-2.4679-.7463-5.2789-1.8937-5.2789-5.3369v-.057c0-3.6153,2.9261-5.6231,6.4843-5.6231,2.3553,.0234,4.6511,.742,6.5994,2.0658l-1.8937,3.5003c-1.4459-.9422-3.1015-1.5139-4.8207-1.6646-1.2054,0-1.8366,.5162-1.8366,1.2054v.057c0,.9754,1.6646,1.4345,3.6153,2.1267,2.4679,.8033,5.3369,2.0087,5.3369,5.2789v.057c0,3.9633-2.9261,5.7381-6.7666,5.7381-2.7543-.0573-5.4158-1.006-7.5854-2.7037Zm15.4356-6.4264h0c0-5.1069,3.6153-9.2964,8.7792-9.2964,5.9102,0,8.6651,4.5907,8.6651,9.6405,0,.4021-.057,.8603-.057,1.3195h-12.3375c.3233,2.123,2.219,3.6443,4.3616,3.5003,1.6303,.0269,3.1951-.6409,4.3036-1.8367l2.869,2.5249c-1.744,2.1959-4.4283,3.4315-7.2306,3.3282-5.3901,.001-9.3534-3.7835-9.3534-9.1804Zm12.5095-1.4916c-.29-2.2378-1.6066-3.7874-3.7303-3.7874s-3.4432,1.4916-3.8444,3.7874h7.5747Zm6.1412,1.4906h0c-.0992-5.0349,3.9019-9.197,8.9368-9.2964h.3596c2.6878-.1539,5.2947,.9485,7.0566,2.9841l-3.0991,3.3282c-.9721-1.2277-2.4505-1.9458-4.0165-1.9507-2.5249,0-4.3036,2.2378-4.3036,4.8198v.057c0,2.697,1.7787,4.8778,4.4756,4.8778,1.5606-.0446,3.0342-.7295,4.0745-1.8937l2.9261,2.9841c-1.7686,2.1577-4.4423,3.3673-7.2306,3.2712-5.0035,.0682-9.115-3.9326-9.1832-8.9361,0-.0009,0-.0017,0-.0026,.0026-.0806,.0038-.1614,.0039-.2426Zm17.9606,2.5249V8.6642h5.0498v9.8706c0,2.4099,1.1474,3.6153,3.0411,3.6153s3.1562-1.2054,3.1562-3.6153V8.6071h5.0498V26.3386h-5.0498v-2.5249c-1.1459,1.7743-3.1079,2.8527-5.22,2.869-3.7893,.001-6.0271-2.4669-6.0271-6.5414Zm18.4767-11.5342h5.0498v3.5573c1.0324-2.4679,2.697-4.0165,5.6811-3.9024v5.2789h-.29c-3.3282,0-5.3939,2.0087-5.3939,6.2543v6.5414h-5.047V8.6071Zm12.5666,0h5.0498V26.3386h-5.0498V8.6071Zm8.9561,12.7396V12.9117h-2.1267v-4.3036h2.1267V4.0745h5.0498v4.5336h4.1885v4.3036h-4.1924v7.5747c0,1.1474,.5162,1.7216,1.6066,1.7216,.8637,.0094,1.7148-.2083,2.4679-.6312v4.0165c-1.1964,.7132-2.571,1.0716-3.9633,1.0334-3.0952,.057-5.1571-1.2054-5.1571-5.2799Zm11.4153,9.1813l1.6646-3.6153c.6415,.4009,1.372,.6373,2.1267,.6883,.7821,.0558,1.5071-.4118,1.7787-1.1474l-6.9474-17.7885h5.3369l4.0165,12.1074,3.8444-12.1074h5.22l-6.7666,18.1326c-1.3775,3.6153-2.812,4.9928-5.8531,4.9928-1.5664,.0294-3.1059-.4102-4.4205-1.2625ZM182.4783,1.3195c1.3945,0,2.5249,1.1304,2.5249,2.5249s-1.1304,2.5249-2.5249,2.5249-2.5249-1.1304-2.5249-2.5249,1.1304-2.5249,2.5249-2.5249Zm38.8471,2.754v2.1267h-.6312v-2.1267h-.8603v-.5162h2.3528v.4592h-.8603l-.0009,.057Zm4.0755,2.1238v-1.7796l-.8033,1.7787h-.6312l-.7463-1.7787,.057,.3441v1.3775h-.5732V3.5573h.7463l.8603,2.0658,.9753-2.0658h.6883v2.6399h-.5732Z" /><path class="cls-1" d="M46.2508,2.2378h5.0498V26.3956h-5.0498V2.2378Zm7.9189,6.3693h5.0498V26.3386h-5.0498V8.6071Zm6.5414,0h5.3369l3.9633,11.8783,4.0126-11.8783h5.22l-7.0005,17.8465h-4.5907l-6.9416-17.8465Zm17.9035,9.0102h0c0-5.1069,3.6153-9.2964,8.7792-9.2964,5.9102,0,8.6651,4.5907,8.6651,9.6405,0,.4021-.057,.8603-.057,1.3195h-12.3375c.3232,2.1226,2.2184,3.6438,4.3606,3.5003,1.6303,.0269,3.1951-.6409,4.3036-1.8367l2.869,2.5249c-1.744,2.1959-4.4283,3.4315-7.2306,3.3282-5.3891,.001-9.3524-3.7835-9.3524-9.1804Zm12.5095-1.4916c-.29-2.2378-1.6066-3.7874-3.7294-3.7874s-3.4432,1.4916-3.8444,3.7874h7.5738ZM56.6366,0c-1.7746,0-3.2132,1.4386-3.2132,3.2132,0,1.7746,1.4386,3.2132,3.2132,3.2132,1.7746,0,3.2132-1.4386,3.2132-3.2132h0c-.0188-1.7667-1.4464-3.1943-3.2132-3.2132Zm0,4.5907c-.7567-.0094-1.3677-.6208-1.3765-1.3775-.0202-.7605,.58-1.3933,1.3405-1.4135,.7605-.0202,1.3933,.58,1.4135,1.3405,.0006,.0243,.0006,.0487,0,.073-.0089,.7571-.6204,1.3686-1.3775,1.3775Zm191.3425,4.0213c-2.2021-.0287-4.2611,1.0885-5.4375,2.9502-.9299,1.6095-1.1339,4.233-1.1339,5.9711s.2049,4.3596,1.1339,5.9691c1.1767,1.8615,3.2355,2.9785,5.4375,2.9502h34.4972c2.2018,.0283,4.2603-1.0888,5.4365-2.9502,.928-1.6095,1.1349-4.233,1.1349-5.9711s-.2069-4.3567-1.1349-5.9662c-1.1762-1.8615-3.2347-2.9786-5.4365-2.9502l-34.4972-.0029Zm22.9572,7.9392h2.9v-.0899c0-1.3272-.5326-1.4268-1.4896-1.4268-1.16,0-1.3794,.377-1.4133,1.5167m-20.3859-1.4297c.9512,0,1.4635,.0967,1.4635,1.3997v.0628h-2.8487c.0319-1.1165,.2591-1.4626,1.3852-1.4626m-4.0233,2.463c0,3.1262,.783,4.2533,4.0745,4.2533,1.0071,.0751,2.0175-.0927,2.9464-.4891,.7808-.4894,1.2122-1.3829,1.1097-2.2987h-2.5965c-.0271,.8903-.6322,.9821-1.4626,.9821-1.1996,0-1.4336-.4833-1.4336-1.9788v-.0638h5.4887v-.405c0-3.4123-.9231-4.2668-4.06-4.2668-3.3553,0-4.0745,1.044-4.0745,4.2668m9.8793-1.5621c0,1.6665,.5742,2.4476,4.0735,2.4476,.3744-.0275,.7508,.0097,1.1126,.1102,.2736,.1199,.4021,.3586,.4021,.7927,0,.726-.2658,.8043-1.5128,.8043-.6931,0-1.3987-.0155-1.4307-.9502h-2.6438c.0203,1.8425,.8932,2.4447,2.5085,2.5732,.4882,.0377,1.0188,.0348,1.565,.0348,2.2233,0,4.0735-.3712,4.0735-2.7849,0-2.2997-1.1996-2.463-4.0745-2.5288-1.4268-.0319-1.5109-.3316-1.5109-.8043,0-.5616,.0619-.7405,1.5119-.7405,.5317,0,1.0633,.0474,1.1822,.7086h2.4882v-.3393c0-2.001-2.0967-2.03-3.6733-2.03-2.3625,0-4.0735,.0532-4.0735,2.7066m21.6744-2.7066h6.5018v1.9005h-1.9333v6.525h-2.6274v-6.524h-1.9333l-.0077-1.9014Zm-9.7275,4.2059c0-3.2122,.7086-4.2398,4.0464-4.2398,3.1194,0,4.031,.842,4.031,4.2398v.376h-5.4896v.0909c0,1.4945,.2359,2.0058,1.4587,2.0058,.8226,0,1.45-.0909,1.4896-.9821h2.5413c.0948,.8946-.3269,1.7653-1.0875,2.2456-.9243,.3931-1.9294,.5588-2.9309,.4833-3.276,0-4.0464-1.1088-4.0464-4.2224m-23.7624,5.7874c-1.3214-1.421-1.6134-3.652-1.6134-5.7739s.29-4.35,1.6134-5.7758c1.0333-.9868,2.3994-1.5498,3.828-1.5776h17.7865v14.7048h-17.7865c-1.4285-.0278-2.7946-.5908-3.828-1.5776m43.7423-16.12c.0004-.036-.009-.0714-.0271-.1025-.0116-.0387-.0445-.0628-.086-.0899-.0385-.0194-.0807-.0303-.1237-.0319-.0559-.0087-.1126-.0123-.1692-.0106h-.1508v.5394h.115c.0678,.0013,.1357-.0022,.203-.0106,.0495-.0114,.0968-.0307,.1402-.057,.0317-.0265,.0574-.0594,.0754-.0967,.016-.0456,.0235-.0938,.0222-.1421m.8226,1.3533h-.61l-.5742-.7086h-.1933v.7066h-.4679v-1.913h.7269c.1085-.0031,.2172,.0024,.3248,.0164,.0855,.0088,.1681,.0355,.2426,.0783,.0789,.0405,.1456,.1012,.1933,.1759,.0425,.0819,.0625,.1737,.058,.2658,.0044,.1242-.0384,.2454-.1199,.3393-.0832,.0952-.1884,.1685-.3064,.2136l.7259,.8255Zm.4186-.9203c.0053-.4029-.1547-.7903-.4427-1.072-.2749-.2868-.6574-.4452-1.0546-.4369-.3998-.0086-.7851,.1497-1.0633,.4369-.5856,.5955-.5856,1.5505,0,2.146,.5715,.5851,1.5091,.5962,2.0942,.0247,.0083-.0081,.0166-.0164,.0247-.0247,.289-.2818,.4492-.6703,.4427-1.074m.4253,0c.0069,.5131-.1972,1.0066-.5645,1.3649-.7536,.747-1.9685,.747-2.7221,0-.3705-.3563-.5758-.851-.5665-1.3649-.0083-.5104,.1971-1.001,.5665-1.3533,.7441-.75,1.955-.7561,2.7066-.0135l.0135,.0135c.3662,.3543,.5704,.8438,.5645,1.3533m-64.0238,6.7637h2.1044c1.5563,0,2.32,.6206,2.32,1.74,.0109,.539-.2936,1.0349-.7791,1.2692v.0242c.7243,.1716,1.2395,.8131,1.2509,1.5573,0,1.16-.6767,1.9652-2.5133,1.9652h-2.3828v-6.5559Zm2.0483,2.7588c.7414,0,1.1126-.2591,1.1126-.8893,0-.6767-.4456-.899-1.2799-.899h-.6109v1.7883h.7782Zm.2127,2.7898c.87,0,1.362-.2223,1.362-.9261s-.5007-.9667-1.4829-.9667h-.87v1.8908l.9908,.0019Zm4.9406-1.248l-2.32-4.3007h1.4548l1.5418,3.2267,1.6433-3.2248h1.4084l-2.4659,4.2726v2.2775h-1.2566l-.0058-2.2514Z" /></g></g></svg> </a> </div> </div> <div class="page-info"> <p> Noticias, opiniones y análisis de la comunidad de seguridad de ESET </p> </div> </div> <div class="col footer-links"> <a href="/es/company/acerca-de/" title="Acerca de" >Acerca de</a> <a href="/es/rss/feed/" title="RSS Feed" >RSS Feed</a> <a href="/es/company/contactanos/" title="Contáctanos" >Contáctanos</a> <a href="/es/company/direccion/" title="Dirección" >Dirección</a> <a href="/es/company/informacion-legal/" title="Información Legal" >Información Legal</a> <a href="#" title="Política de Cookies" id="manage-cookies" onclick="event.preventDefault()" >Política de Cookies</a> <a href="/es/company/politica-de-privacidad/" title="Política de privacidad" >Política de privacidad</a> </div> <div class="col social-networks"> <a href="https://www.facebook.com/ESETLA" title="¡Hazte fan en Facebook!"> <svg id="Layer_2" fill="#949ca1" class="facebook" xmlns="http://www.w3.org/2000/svg" width="35" height="35" viewBox="0 0 50 50"><g id="Layer_2-2"><circle cx="25" cy="25" r="25" /><path fill="white"d="m30.9623,26.8125l.8054-5.2483h-5.0359v-3.4058c0-1.4358.7035-2.8354,2.9589-2.8354h2.2894v-4.4684s-2.0776-.3546-4.064-.3546c-4.1472,0-6.858,2.5137-6.858,7.0642v4h-4.61v5.2483h4.61v12.6875h5.6737v-12.6875h4.2305Z" /></g></svg> </a> <a href="https://youtube.com/esetla" title="Mira nuestros videos en YouTube"> <svg id="Layer_2" fill="#949ca1" class="youtube" xmlns="http://www.w3.org/2000/svg" width="35" height="35" viewBox="0 0 50 50"><g id="Layer_2-2"><circle cx="25" cy="25" r="25" /><g id="Layer_1-2"><g id="youtube"><g id="SOCIAL_MEDIA"><path id="youtube-2" fill="white"d="m39.3741,17.7792c-.3492-1.2938-1.3598-2.3044-2.6536-2.6536-2.3399-.625-11.7206-.625-11.7206-.625,0,0-9.3745,0-11.7206.625-1.2941.3485-2.305,1.3594-2.6536,2.6536-.4319,2.3823-.6412,4.7997-.6249,7.2208-.0162,2.4211.193,4.8385.625,7.2208.3478,1.2946,1.359,2.3058,2.6536,2.6536,2.3399.625,11.7206.625,11.7206.625,0,0,9.3807,0,11.7206-.625,1.2942-.3485,2.3051-1.3594,2.6536-2.6536.4315-2.3824.6408-4.7997.625-7.2208.0158-2.4211-.1934-4.8384-.625-7.2208h0Zm-17.374,11.7205v-8.9994l7.7933,4.4997-7.7933,4.4997Z" /></g></g></g></g></svg> </a> <a href="https://twitter.com/ESETLA" title="Visita nuestra página de Twitter"> <svg id="Layer_2" fill="#949ca1" class="twitter" xmlns="http://www.w3.org/2000/svg" width="35" height="35" viewBox="0 0 50 50"><g id="Layer_2-2"><circle cx="25" cy="25" r="25" /><g id="twitter"><g id="Layer_2-3"><g id="Research_icons"><path id="twitter-2" fill="white"d="m36.0847,16.9564c1.1786-.1395,2.3298-.4543,3.4153-.934-.7998,1.1935-1.8049,2.2357-2.9686,3.0783v.7675c0,7.8581-5.9779,16.9184-16.9184,16.9184-3.2314.004-6.3954-.9238-9.113-2.6722.4703.0571.9436.0856,1.4173.0853,2.6784.0044,5.2803-.8925,7.3871-2.5463-2.5446-.0467-4.7777-1.7068-5.5555-4.1301.3681.0703.742.1056,1.1168.1056.5293,0,1.0564-.0696,1.5676-.2071-2.775-.5608-4.7696-3.0006-4.7677-5.8317v-.0731c.826.4573,1.7488.712,2.6925.7432-2.6116-1.7476-3.4122-5.2258-1.8275-7.9394,3.0149,3.7157,7.4653,5.9771,12.2441,6.2215-.7617-3.1963,1.2119-6.4049,4.4082-7.1666,2.0894-.4979,4.285.1691,5.7444,1.7451,1.3319-.2639,2.6091-.7528,3.7768-1.4457-.4477,1.3745-1.3782,2.5402-2.6194,3.2813Z" /></g></g></g></g></svg> </a> <a href="https://www.linkedin.com/company/eset-latinoamerica" title="Síguenos en LinkedIn"> <svg id="Layer_2" fill="#949ca1" class="linkedin" xmlns="http://www.w3.org/2000/svg" width="35" height="35" viewBox="0 0 50 50"><g id="Layer_2-2"><circle cx="25" cy="25" r="25" /><path fill="white"d="m18.7686,35.9995h-4.9757v-16.0232h4.9757v16.0232Zm-2.4905-18.2089c-1.5911,0-2.8816-1.3179-2.8816-2.9089.0002-1.5915,1.2906-2.8814,2.882-2.8812,1.5911.0002,2.881,1.29,2.8812,2.8812,0,1.5911-1.2911,2.9089-2.8816,2.9089Zm21.113,18.2089h-4.965v-7.8c0-1.8589-.0375-4.2429-2.587-4.2429-2.587,0-2.9834,2.0196-2.9834,4.1089v7.9339h-4.9704v-16.0232h4.7721v2.1857h.0696c.6643-1.2589,2.287-2.5875,4.7079-2.5875,5.0357,0,5.9614,3.3161,5.9614,7.6232v8.8018h-.0054Z" /></g></svg> </a> <a href="https://www.welivesecurity.com/la-es/configurar-rss/" title="¡No te pierdas ningún post!"> <svg id="Layer_2" fill="#949ca1" class="social-icon" xmlns="http://www.w3.org/2000/svg" width="35" height="35" viewBox="0 0 50 50"><g id="Layer_2-2"><circle cx="25" cy="25" r="25" /><g id="rss"><g id="SOCIAL_MEDIA"><path id="rss-2" fill="white"d="m16.9299,36.9089c-1.8039-.0139-3.255-1.4876-3.2411-3.2915.0139-1.8039,1.4876-3.255,3.2915-3.2411,1.7931.0138,3.2398,1.4706,3.2412,3.2638-.006,1.8113-1.4791,3.2748-3.2904,3.2688-.0004,0-.0008,0-.0012,0Zm12.6168,0c-.0331-8.7521-7.1549-15.8203-15.907-15.7872h-.0014v4.6272c6.1869-.0232,11.2214,4.9731,11.2452,11.16h4.6632Zm8.0916,0c-.0503-13.2044-10.7953-23.8679-23.9997-23.8176-.0001,0-.0002,0-.0003,0v4.7628c10.5637-.0398,19.1597,8.4911,19.2,19.0548h4.8Z" /></g></g></g></svg> </a> </div> </div> <div class="row g-0"> <div class="col copyright"> Copyright © ESET, Todos Los Derechos Reservados </div> </div> </div> </footer> </div> <!-- scripts --> <link rel="modulepreload" href="https://www.welivesecurity.com/build/assets/app-7a4ecde0.js" /><script type="module" src="https://www.welivesecurity.com/build/assets/app-7a4ecde0.js"></script> <link rel="modulepreload" href="https://www.welivesecurity.com/build/assets/search-7d9f58b7.js" /><link rel="modulepreload" href="https://www.welivesecurity.com/build/assets/_commonjsHelpers-042e6b4d.js" /><script type="module" src="https://www.welivesecurity.com/build/assets/search-7d9f58b7.js"></script> <script> var disqus_config = function () { this.page.url = "https://www.welivesecurity.com/es/investigaciones/analisis-wolfsbane-nuevo-backdoor-linux-grupo-apt-gelsemiun/"; this.page.identifier = "Análisis de WolfsBane: un nuevo backdoor para Linux del grupo APT Gelsemiun"; this.page.title = "30937"; this.language = "es"; }; (function() { var d = document, s = d.createElement('script'); s.src = 'https://welivesecurity.disqus.com/embed.js'; s.setAttribute('data-timestamp', +new Date()); (d.head || d.body).appendChild(s); })(); </script> <link rel="preload" as="style" href="https://www.welivesecurity.com/build/assets/prism-40494b65.css" /><link rel="modulepreload" href="https://www.welivesecurity.com/build/assets/prism-40d1b0a4.js" /><link rel="modulepreload" href="https://www.welivesecurity.com/build/assets/_commonjsHelpers-042e6b4d.js" /><link rel="stylesheet" href="https://www.welivesecurity.com/build/assets/prism-40494b65.css" /><script type="module" src="https://www.welivesecurity.com/build/assets/prism-40d1b0a4.js"></script> <link rel="preload" as="style" href="https://www.welivesecurity.com/build/assets/article-e3625c4c.css" /><link rel="modulepreload" href="https://www.welivesecurity.com/build/assets/article-98874652.js" /><link rel="modulepreload" href="https://www.welivesecurity.com/build/assets/table-wrapper-135558d1.js" /><link rel="stylesheet" href="https://www.welivesecurity.com/build/assets/article-e3625c4c.css" /><script type="module" src="https://www.welivesecurity.com/build/assets/article-98874652.js"></script></body> </html>