Le groupe APT **Harvester**, connu pour cibler des entités en Asie du Sud, utilise désormais une version Linux de sa backdoor **GoGra**. Selon un rapport de l'équipe Threat Hunter de **Symantec** et **Carbon Black**, le malware emploie l'API légitime **Microsoft** Graph et les boîtes aux lettres Outlook comme canal de commande et contrôle (C2) furtif. Cela lui permet d'échapper aux défenses réseau périmétriques standard. La société de cybersécurité a découvert des artefacts téléchargés sur **VirusTotal** depuis l'Inde et l'Afghanistan, suggérant que ces pays sont les principales cibles de cette campagne d'espionnage. ### Historique de Harvester **Harvester** a été documenté pour la première fois par **Symantec** fin 2021. Le groupe était lié à une campagne de vol d'informations ciblant les secteurs des télécommunications, gouvernemental et informatique en Asie du Sud depuis juin 2021. Le groupe utilisait un implant personnalisé appelé Graphon, qui utilisait également l'API **Microsoft** Graph pour le C2. En août 2024, le groupe a été associé à une attaque contre une organisation médiatique en Asie du Sud. Cette attaque impliquait une backdoor écrite en Go nommée **GoGra**, jusqu'alors inconnue. Les dernières découvertes montrent que **Harvester** étend son arsenal au-delà de Windows, ciblant désormais les machines Linux avec une nouvelle variante de la même backdoor. ### Détails Techniques de l'Attaque Les attaques utilisent l'ingénierie sociale pour inciter les victimes à ouvrir des binaires ELF déguisés en documents PDF. Le dropper affiche un document leurre tout en déployant silencieusement la backdoor. Comme la version Windows, **GoGra** pour Linux abuse de l'infrastructure cloud de **Microsoft**. Il contacte un dossier spécifique de boîte aux lettres Outlook nommé "Zomato Pizza" toutes les deux secondes en utilisant des requêtes Open Data Protocol (OData). La backdoor scanne la boîte de réception à la recherche de messages électroniques entrants dont l'objet commence par "Input." Lorsqu'un e-mail correspondant est trouvé, la backdoor déchiffre le corps du message encodé en Base64 et l'exécute comme commandes shell en utilisant `/bin/bash`. Les résultats de l'exécution sont renvoyés à l'opérateur dans un e-mail avec l'objet "Output." Après exfiltration, l'implant efface le message de tâche original pour dissimuler son activité. ### Similitudes entre les Plateformes **Symantec** et **Carbon Black** ont noté que malgré les différences dans les architectures de déploiement et les systèmes d'exploitation, la logique C2 sous-jacente reste cohérente. Ils ont également trouvé des erreurs d'orthographe identiques et codées en dur sur les deux plateformes, suggérant que le même développeur est responsable des deux outils. Cette nouvelle backdoor Linux témoigne des efforts continus de **Harvester** pour élargir sa boîte à outils et développer activement de nouvelles capacités. Cela lui permet de cibler un éventail plus large de victimes et de machines.