O **Harvester** APT, conhecido por atingir entidades na Ásia Meridional, está agora utilizando uma versão Linux de seu backdoor **GoGra**. De acordo com um relatório da equipe **Symantec** e **Carbon Black** Threat Hunter, o malware emprega a API legítima **Microsoft** Graph e caixas de correio do Outlook como um canal discreto de comando e controle (C2). Isso permite que ele evite as defesas de rede de perímetro padrão. A empresa de cibersegurança descobriu artefatos carregados no **VirusTotal** da Índia e do Afeganistão, sugerindo que esses países são os alvos primários desta campanha de espionagem. ### Histórico do Harvester O **Harvester** foi documentado pela primeira vez pela **Symantec** no final de 2021. Eles foram associados a uma campanha de roubo de informações visando os setores de telecomunicações, governamental e de TI na Ásia Meridional desde junho de 2021. O grupo utilizava um implante customizado chamado Graphon, que também usava a API **Microsoft** Graph para C2. Em agosto de 2024, o grupo foi conectado a um ataque contra uma organização de mídia na Ásia Meridional. Este ataque envolveu um backdoor escrito em Go, nunca visto antes, chamado **GoGra**. As descobertas mais recentes mostram que o **Harvester** está expandindo seu arsenal além do Windows, agora visando máquinas Linux com uma nova variante do mesmo backdoor. ### Detalhes Técnicos do Ataque Os ataques utilizam engenharia social para enganar as vítimas e fazê-las abrir binários ELF disfarçados de documentos PDF. O dropper exibe um documento de isca enquanto implanta silenciosamente o backdoor. Assim como a versão Windows, o **GoGra** Linux abusa da infraestrutura de nuvem da **Microsoft**. Ele contata uma pasta específica na caixa de correio do Outlook chamada "Zomato Pizza" a cada dois segundos usando consultas Open Data Protocol (OData). O backdoor escaneia a caixa de entrada em busca de mensagens de e-mail recebidas com uma linha de assunto começando com "Input." Quando um e-mail correspondente é encontrado, o backdoor descriptografa o corpo da mensagem codificado em Base64 e o executa como comandos shell usando `/bin/bash`. Os resultados da execução são enviados de volta ao operador em um e-mail com a linha de assunto "Output." Após a exfiltração, o implante apaga a mensagem de tarefa original para ocultar sua atividade. ### Semelhanças Entre Plataformas A **Symantec** e a **Carbon Black** observaram que, apesar das diferenças nas arquiteturas de implantação e sistemas operacionais, a lógica subjacente de C2 permanece consistente. Eles também encontraram erros de ortografia idênticos e codificados em ambas as plataformas, sugerindo que o mesmo desenvolvedor é responsável por ambas as ferramentas. Este novo backdoor Linux sinaliza os esforços contínuos do **Harvester** para ampliar seu conjunto de ferramentas e desenvolver ativamente novas capacidades. Isso permite que eles atinjam uma gama mais ampla de vítimas e máquinas.