Компания ESET сообщает об обнаружении новой версии сложного вредоносного программного обеспечения Gelsevirine, которое принадлежит группе киберпреступников Gelsemium. Среди целей новой угрозы — государственные учреждения, религиозные организации, производители электроники и университеты Восточной Азии и Ближнего Востока.

К этому времени Gelsemium в основном удавалось избегать обнаружения. Специалисты ESET начали отслеживать деятельность группы с середины 2020 года, хотя она активна еще с 2014 года.

Деятельность группы является целенаправленной, поэтому у нее небольшое количество жертв, а возможности вредоносного программного обеспечения указывают на то, что злоумышленники занимаются кибершпионажем. В частности, группа Gelsemium имеет много адаптированных компонентов. «Хотя цепь заражения Gelsevirine может показаться на первый взгляд простой, большое количество конфигураций, применяемых на каждом этапе, позволяет изменять во время атаки параметры окончательного компонента», — объясняет исследователь ESET.

Киберпреступники используют три компонента и систему плагинов, в частности загрузчики Gelsemine и Gelsenicine, а также основной плагин Gelsevirine, которые предоставляют широкие возможности для сбора информации.

Исследователи ESET считают, что Gelsemium причастна к атаке на компанию BigNox, которая известна как операция NightScout. Эта атака на цепь поставки была направлена ​​на компрометацию механизма обновления NoxPlayer, эмулятора Android для компьютеров Windows и Mac, который является частью продуктовой линейки BigNox из более чем 150 миллионами пользователей во всем мире.

В ходе исследования было выявлено некоторые сходства между этой атакой и активностью группы Gelsemium. В частности, жертвы атаки на цепь поставки впоследствии были скомпрометированы Gelsemium. Кроме этого, зафиксировано сходство определенных версий вредоносных программ, которые применялись в обоих атаках.