### La backdoor GoGra cible les systèmes Linux Le groupe **Harvester**, soupçonné d'être soutenu par un État, développe activement des outils malveillants personnalisés depuis au moins 2021. Leur dernière création, une variante Linux de la backdoor GoGra, adopte une approche novatrice en utilisant l'**API Microsoft Graph** pour accéder aux données de la boîte aux lettres, la rendant exceptionnellement difficile à détecter. **Harvester** a historiquement ciblé des organisations des télécommunications, des gouvernements et de l'informatique en Asie du Sud en utilisant des backdoors et des chargeurs personnalisés. ### Abus de l'API Microsoft Graph pour des opérations clandestines Les chercheurs de **Symantec** ont analysé des échantillons de la backdoor Linux GoGra obtenus sur **VirusTotal**. Leurs conclusions indiquent que le malware obtient un accès initial en trompant les victimes pour qu'elles exécutent des binaires ELF déguisés en fichiers PDF. Une fois à l'intérieur du système, la version Linux de GoGra utilise des identifiants **Azure Active Directory (AD)** codés en dur pour s'authentifier auprès du cloud de Microsoft et acquérir des jetons OAuth2. Cela lui permet d'interagir avec les boîtes aux lettres Outlook via l'API Microsoft Graph. ### Plongée technique La phase initiale implique un droppeur malware basé sur Go déployant une charge utile i386. La persistance est établie via 'systemd' et une entrée de démarrage automatique XDG, se faisant passer pour le moniteur système légitime **Conky** pour Linux et BSD. Le malware vérifie un dossier de boîte aux lettres Outlook nommé « Zomato Pizza » toutes les deux secondes. Il utilise des requêtes OData pour identifier les e-mails entrants dont les lignes d'objet commencent par « Input ». Le contenu de ces messages, qui sont encodés en base64 et chiffrés en AES-CBC, est déchiffré et exécuté localement. Les résultats de ces exécutions sont ensuite chiffrés en AES et renvoyés à l'opérateur via des e-mails de réponse avec l'objet « Output ». Pour réduire davantage son empreinte, le malware émet une requête HTTP DELETE pour supprimer l'e-mail de commande original après l'avoir traité. ### Similitudes de code pointant vers Harvester **Symantec** note que la variante Linux de GoGra partage une base de code quasi identique avec la version Windows, y compris des fautes de frappe dans les chaînes et les noms de fonctions, ainsi que la même clé AES. Cela suggère fortement que les deux variantes de malware ont été créées par le même développeur, renforçant ainsi l'attribution au groupe de menace **Harvester**. L'émergence d'une variante Linux de GoGra signale que **Harvester** étend sa boîte à outils et élargit sa portée de ciblage pour compromettre un plus large éventail de systèmes.