Новый малоизвестный Linux-бекдор GhostPenguin вышел из тени благодаря автоматизированной охоте на угрозы, в которой Trend Research использовала ИИ для анализа тысяч недетектируемых образцов с VirusTotal. Специалисты обнаружили ранее не документированное вредоносное ПО, скрывавшееся более четырёх месяцев без единого срабатывания антивирусов, и детально разобрали его устройство, коммуникации и архитектуру. По сути, GhostPenguin — это многопоточный C++-имплант, который обеспечивает удалённый интерактивный shell, практически полный контроль над файловой системой и надёжный обмен данными через RC5-шифрованный канал по UDP на порту 53.
Разработчики GhostPenguin внедрили многоступенчатую схему связи с C&C-сервером: сначала бекдор запрашивает у управляющего сервера 16-байтовый идентификатор сессии, затем использует его как ключ для RC5 и только после успешного рукопожатия переходит к передаче команд. Вредоносный код поддерживает десятки операций — от создания, удаления и модификации файлов до запуска удалённой оболочки /bin/sh — и работает над UDP поверх собственной системы подтверждений, чтобы компенсировать потерю пакетов. Параллельно запущенные потоки отвечают за heartbeat, приём команд и отправку данных, а также за повторную передачу не подтверждённых пакетов.
GhostPenguin также ведёт себя как аккуратный «хозяин» системы: проверяет, запущен ли другой экземпляр, создавая lock-файл .temp в домашнем каталоге, и завершает работу при дублировании. Несмотря на обширный набор функций, исследователи нашли неопубликованные фрагменты кода, отладочную конфигурацию и неиспользуемые функции персистентности, что говорит о продолжающейся разработке. В сочетании с обфускацией, нестандартной коммуникацией и малошумным поведением это позволяет вредоносу оставаться незамеченным — до тех пор, пока анализ не автоматизирован.
>>> AI-Automated Threat Hunting Brings GhostPenguin Out of the Shadows
