### El backdoor GoGra apunta a sistemas Linux El grupo **Harvester**, que se cree respaldado por un estado, ha estado desarrollando activamente herramientas maliciosas personalizadas desde al menos 2021. Su última creación, una variante para Linux del backdoor GoGra, emplea un enfoque novedoso al utilizar la **Microsoft Graph API** para acceder a datos de buzones, lo que lo hace excepcionalmente evasivo. **Harvester** ha atacado históricamente organizaciones de telecomunicaciones, gubernamentales y de TI en el sur de Asia utilizando backdoors y cargadores personalizados. ### Abuso de la Microsoft Graph API para operaciones encubiertas Investigadores de **Symantec** han analizado muestras del backdoor GoGra para Linux obtenidas de **VirusTotal**. Sus hallazgos indican que el malware obtiene acceso inicial engañando a las víctimas para que ejecuten binarios ELF disfrazados de archivos PDF. Una vez dentro del sistema, la versión para Linux de GoGra utiliza credenciales de **Azure Active Directory (AD)** codificadas para autenticarse en la nube de Microsoft y adquirir tokens OAuth2. Esto le permite interactuar con buzones de Outlook a través de la Microsoft Graph API. ### Análisis técnico profundo La etapa inicial involucra un cargador de malware basado en Go que despliega un payload i386. La persistencia se establece a través de 'systemd' y una entrada de inicio automático XDG, enmascarándose como el monitor de sistema legítimo **Conky** para Linux y BSD. El malware revisa una carpeta de buzón de Outlook llamada "Zomato Pizza" cada dos segundos. Emplea consultas OData para identificar correos entrantes con líneas de asunto que comienzan con "Input." El contenido de estos mensajes, que está codificado en base64 y cifrado con AES-CBC, se descifra y ejecuta localmente. Los resultados de estas ejecuciones se cifran con AES y se envían de vuelta al operador a través de correos de respuesta con el asunto "Output." Para reducir aún más su huella, el malware emite una solicitud HTTP DELETE para eliminar el correo de comando original después de procesarlo. ### Similitudes en el código apuntan a Harvester **Symantec** señala que la variante para Linux de GoGra comparte una base de código casi idéntica con la versión para Windows, incluyendo errores tipográficos en cadenas y nombres de funciones, así como la misma clave AES. Esto sugiere fuertemente que ambas variantes de malware fueron creadas por el mismo desarrollador, solidificando aún más la atribución al grupo de amenazas **Harvester**. La aparición de una variante de GoGra para Linux señala que **Harvester** está expandiendo su conjunto de herramientas y ampliando su alcance de objetivos para comprometer una gama más amplia de sistemas.