ESET, la mayor empresa de ciberseguridad de la Unión Europea, lleva analizando desde mediados del año pasado diferentes campañas que han sido atribuidas finalmente a Gelsemium, un grupo de ciberespionaje que parece llevar operando al menos desde 2014 con su malware Gelsevirine. Durante la investigación, los expertos de ESET encontraron precisamente una nueva versión de Gelsevirine, una backdoor compleja y modular. Las víctimas de esta campaña se sitúan en Asia oriental y en Oriente Medio, e incluyen tanto gobiernos como organizaciones religiosas, universidades y fabricantes de dispositivos electrónicos. El grupo ha conseguido operar sin ser descubierto hasta ahora.
Gelsemium realiza ataques muy dirigidos; de hecho, según la telemetría de ESET, solo ha afectado a unas pocas víctimas, pero, teniendo en cuenta sus capacidades, todo apunta a que su objetivo principal es el ciberespionaje, ya que trabaja con un importante número de componentes adaptables. “La cadena completa de infección de Gelsemium parece simple a primera vista, pero puede configurarse de multitud de formas en cada etapa, incluso sobre la marcha en el propio payload final, lo que lo convierte en difícil de entender”, explica el investigador de ESET Thomas Dupuy, coautor del análisis sobre Gelsemium.
Gelsemium utiliza tres componentes y un sistema de complementos que ofrece a los operadores diferentes opciones para recoger la información: el dropper Gelsemine, el loader Gelsenicine y el componente principal Gelsevirine.
Desde ESET se apunta a que Gelsemium podría estar detrás del ataque a la cadena de suministro de BigNox, sobre la que se alertó en la Operación NightScout. Se trata de un ataque denunciado por ESET que comprometió el mecanismo de actualización de NoxPlayer, un emulador de Android para PC y Mac, así como el conjunto de productos de BigNox, con más de 150 millones de usuarios en todo el mundo. La investigación de ESET descubrió conexiones entre el ataque y el grupo Gelsemium: las víctimas que habían sido comprometidas por el ataque de la Operación NightScout fueron luego comprometidos por Gelsemine.
Para más información sobre Gelsemium, se puede leer el blog o el whitepaper de ESET.