El APT **Harvester**, conocido por atacar a entidades en el sur de Asia, está utilizando ahora una versión para Linux de su backdoor **GoGra**. Según un informe del equipo de Threat Hunter de **Symantec** y **Carbon Black**, el malware emplea la API legítima de **Microsoft** Graph y los buzones de Outlook como un canal encubierto de comando y control (C2). Esto le permite evadir las defensas perimetrales de red estándar. La firma de ciberseguridad descubrió artefactos subidos a **VirusTotal** desde India y Afganistán, lo que sugiere que estos países son los objetivos principales de esta campaña de espionaje. ### Historial de Harvester **Harvester** fue documentado por primera vez por **Symantec** a finales de 2021. Se les vinculó a una campaña de robo de información dirigida a los sectores de telecomunicaciones, gobierno y TI en el sur de Asia desde junio de 2021. El grupo utilizó un implante personalizado llamado Graphon, que también utilizaba la API de **Microsoft** Graph para C2. En agosto de 2024, el grupo fue conectado a un ataque contra una organización de medios en el sur de Asia. Este ataque involucró un backdoor basado en Go previamente desconocido llamado **GoGra**. Los últimos hallazgos muestran que **Harvester** está expandiendo su arsenal más allá de Windows, apuntando ahora a máquinas Linux con una nueva variante del mismo backdoor. ### Detalles Técnicos del Ataque Los ataques utilizan ingeniería social para engañar a las víctimas y hacer que abran binarios ELF disfrazados de documentos PDF. El dropper muestra un documento señuelo mientras despliega silenciosamente el backdoor. Al igual que la versión para Windows, **GoGra** para Linux abusa de la infraestructura en la nube de **Microsoft**. Contacta a una carpeta específica del buzón de Outlook llamada "Zomato Pizza" cada dos segundos utilizando consultas Open Data Protocol (OData). El backdoor escanea la bandeja de entrada en busca de mensajes de correo electrónico entrantes con una línea de asunto que comience con "Input". Cuando se encuentra un correo electrónico coincidente, el backdoor descifra el cuerpo del mensaje codificado en Base64 y lo ejecuta como comandos de shell usando `/bin/bash`. Los resultados de la ejecución se envían de vuelta al operador en un correo electrónico con la línea de asunto "Output". Después de la exfiltración, el implante borra el mensaje de tarea original para ocultar su actividad. ### Similitudes Entre Plataformas **Symantec** y **Carbon Black** notaron que, a pesar de las diferencias en las arquitecturas de despliegue y los sistemas operativos, la lógica subyacente de C2 permanece consistente. También encontraron errores ortográficos idénticos codificados en ambas plataformas, lo que sugiere que el mismo desarrollador es responsable de ambas herramientas. Este nuevo backdoor para Linux significa los esfuerzos continuos de **Harvester** para ampliar su conjunto de herramientas y desarrollar activamente nuevas capacidades. Esto les permite apuntar a una gama más amplia de víctimas y máquinas.