«Призрачный пингвин»: ИИ помог обнаружить новый скрытый бэкдор для Linux

GhostPenguin представляет собой многопоточный бэкдор, написанный на C++. Он устанавливает связь с командным сервером (C&C, command-and-control) через зашифрованный UDP-канал. Для маскировки трафика используется алгоритм RC5, а ключ шифрования передается в ходе специального рукопожатия в начале сессии. После успешного подключения вредонос собирает информацию о системе, включая IP-адрес, имя хоста и пользователя, и отправляет ее на сервер. Основная полезная нагрузка (payload) позволяет выполнять команды, предоставляя удаленную оболочку "/bin/sh" и осуществляя полный спектр операций с файлами и каталогами.

Особенностью GhostPenguin является его исключительная скрытность. Он был загружен в VirusTotal 7 июля 2025 года и оставался необнаруженным антивирусными движками более четырех месяцев. Злоумышленники избегали использования публичных библиотек и заимствованного кода, создав образец практически с нуля. Это сделало его невидимым для традиционных сигнатурных методов обнаружения. Для выявления подобных угроз исследователи Trend Micro применили трехэтапный автоматизированный подход.

На первом этапе была создана структурированная база данных артефактов, извлеченных из тысяч известных образцов вредоносного ПО. В нее вошли строки, вызовы API, имена функций и поведенческие паттерны. Затем на основе этих данных были сформированы специальные поисковые запросы для VirusTotal, направленные на выявление образцов с низким или нулевым уровнем детектирования. На втором этапе потенциальные кандидаты, включая GhostPenguin, проходили статический анализ с помощью IDA Pro и инструмента CAPA для определения возможностей.

Ключевую роль сыграл третий этап, где задействовались ИИ-агенты. Модель Gemini 3 Pro анализировала декомпилированный код, переименовывала функции, комментировала логику и оценивала уровень угрозы. Файлы, признанные вредоносными с высокой степенью уверенности, передавались агенту Deep Inspector для глубокого анализа. Он генерировал детальный отчет с техническим разбором, включая сопоставление с тактиками фреймворка MITRE ATT&CK.

Технический анализ показал, что GhostPenguin все еще находится в разработке. В коде остались отладочные артефакты, включая неиспользуемый конфигурационный домен, и две полностью реализованные, но не задействованные функции для обеспечения устойчивости (persistence). Также присутствуют орфографические ошибки, например, "ImpPresistence" вместо "Persistence". Вредонос использует UDP-порт 53, часто ассоциирующийся с DNS-трафиком, для маскировки. Он реализует собственный механизм надежной доставки поверх ненадежного UDP, повторно отправляя пакеты, пока не получит подтверждение от C&C-сервера.

Поддерживаемый функционал обширен. Помимо удаленной оболочки, бэкдор позволяет создавать, удалять, переименовывать, читать и записывать файлы, модифицировать их временные метки, а также рекурсивно работать с каталогами. Для предотвращения множественных запусков он создает файл блокировки ".temp" в домашнем каталоге пользователя.

Этот случай наглядно демонстрирует эволюцию угроз. Современные злоумышленники создают уникальные, малозаметные образцы, обходящие традиционные защиты. В ответ исследователям необходимо комбинировать автоматизацию, расширенную аналитику угроз и искусственный интеллект. Подобные системы, подобные Trend Vision One, которая уже детектирует компрометирующие индикаторы (IoC, Indicators of Compromise) GhostPenguin, позволяют проактивно выявлять такие сложные угрозы, оставаясь на шаг впереди противника. Охота на малодетектируемое вредоносное ПО требует адаптивных методов, где ИИ становится критическим инструментом для обработки больших данных и выявления скрытых аномалий.

IPv4 Port Combinations

• 124.221.109.147:5679
• 65.20.72.101:53

Domain Port Combinations

• www.iytest.com:5679

SHA256

• 7b75ce1d60d3c38d7eb63627e4d3a8c7e6a0f8f65c70d0b0cc4756aab98e9ab7