शोबोट मैलवेयर

साइबर सुरक्षा शोधकर्ताओं ने शोबोट नामक एक अज्ञात लिनक्स मैलवेयर फ्रेमवर्क का पता लगाया है, जिसे कम से कम 2022 के मध्य से मध्य पूर्व में एक दूरसंचार प्रदाता के खिलाफ सक्रिय रूप से तैनात किया गया है। यह मैलवेयर एक मॉड्यूलर पोस्ट-एक्सप्लॉयटेशन टूलकिट के रूप में काम करता है, जो रिमोट शेल एक्सेस को सक्षम करने, फाइलों को स्थानांतरित करने और प्रभावित वातावरण में SOCKS5 प्रॉक्सी के रूप में कार्य करने में सक्षम है।

सुरक्षा विश्लेषकों का मानना है कि यह मैलवेयर चीन से जुड़े एक या अधिक खतरे वाले समूहों से संबंधित है। जांचकर्ताओं ने मैलवेयर के कमांड-एंड-कंट्रोल (सी2) ढांचे और चीन के सिचुआन प्रांत की राजधानी चेंगदू से जुड़े आईपी पतों के बीच संबंध स्थापित किए हैं, जिससे चीनी सरकार द्वारा प्रायोजित संलिप्तता की आशंकाएं और मजबूत हुई हैं।

स्थापित चीन-संबंधी खतरे की गतिविधियों से संबंध

इस गतिविधि से जुड़े समूहों में से एक कैलिप्सो है, जिसे ब्रॉन्ज़ मेडली और रेड लमासू के नाम से भी जाना जाता है। यह समूह कम से कम सितंबर 2016 से सक्रिय है और इसने ब्राजील, भारत, कजाकिस्तान, रूस, थाईलैंड और तुर्की में सरकारी और संस्थागत संस्थाओं को निशाना बनाया है। इस समूह के बारे में सार्वजनिक जानकारी सबसे पहले 2019 में पॉजिटिव टेक्नोलॉजीज द्वारा प्रकाशित शोध के माध्यम से सामने आई।

कैलिप्सो ने पहले प्लगएक्स जैसे मैलवेयर परिवारों के साथ-साथ व्हाइटबर्ड और बायबी जैसे बैकडोर का इस्तेमाल किया था। बायबी मैलवेयर माइक्रोसीन नामक एक बड़े ऑपरेशनल क्लस्टर का हिस्सा है, जिसका संबंध सिक्सलिटिलमंकीज़ थ्रेट क्लस्टर से भी है। शोधकर्ताओं ने सिक्सलिटिलमंकीज़ और वेबवर्म नामक एक अन्य चीन-समर्थित ऑपरेशन के बीच सामरिक समानताएं भी देखीं।

PlugX, ShadowPad और NosyDoor जैसे साझा फ्रेमवर्क के साथ Showboat की उपस्थिति चीन से जुड़े साइबर अपराधियों के बीच एक व्यापक प्रवृत्ति को उजागर करती है: कई जासूसी समूहों द्वारा आक्रामक साइबर उपकरणों का पुन: उपयोग और वितरण। यह पैटर्न दृढ़ता से एक केंद्रीकृत 'डिजिटल नियंत्रक' के अस्तित्व का संकेत देता है जो राज्य समर्थित ऑपरेटरों को मैलवेयर और परिचालन संसाधन उपलब्ध कराने के लिए जिम्मेदार है।

लिनक्स में मौजूद उन्नत बैकडोर क्षमताओं से गंभीर चिंताएं पैदा होती हैं।

जांच तब शुरू हुई जब शोधकर्ताओं ने मई 2025 में अपलोड किए गए एक ELF बाइनरी का विश्लेषण किया, जिसे शुरू में रूटकिट जैसी कार्यक्षमता वाले एक अत्यधिक उन्नत लिनक्स बैकडोर के रूप में वर्गीकृत किया गया था। इस मैलवेयर सैंपल को EvaRAT नाम से भी ट्रैक किया जाता है।

हालांकि संक्रमण का सटीक तरीका अभी तक अज्ञात है, लेकिन पहले हुए कैलिप्सो हमलों में कमजोरियों का फायदा उठाकर या डिफ़ॉल्ट रिमोट-एक्सेस खातों से समझौता करके ASPX वेब शेल का इस्तेमाल किया गया था। यह समूह उन शुरुआती चीनी हमलावरों में से भी था जिन्होंने CVE-2021-26855 का हथियार के रूप में इस्तेमाल किया, जो माइक्रोसॉफ्ट एक्सचेंज सर्वर की खामी थी और कुख्यात प्रॉक्सीलॉगॉन एक्सप्लॉइट श्रृंखला का प्रारंभिक चरण थी।

शोबोट को दूरस्थ C2 सर्वरों से संचार स्थापित करने, विस्तृत सिस्टम जानकारी एकत्र करने और एकत्रित डेटा को एन्क्रिप्टेड और बेस64-एनकोडेड रूप में PNG फ़ील्ड के भीतर छिपाकर प्रसारित करने के लिए डिज़ाइन किया गया है। यह मैलवेयर कई गुप्त और परिचालन सुविधाओं का भी समर्थन करता है, जिनमें शामिल हैं:

• फ़ाइल अपलोड और डाउनलोड करने की सुविधा
• प्रक्रिया छिपाने की तकनीकें
• C2 सर्वर प्रबंधन
• आंतरिक नेटवर्क स्कैनिंग
• पार्श्व गति के लिए SOCKS5 प्रॉक्सी टनलिंग

असुरक्षित होस्ट पर पकड़े जाने से बचने के लिए, शोबोट पेस्टबिन से एक कोड स्निपेट प्राप्त करता है, और शोधकर्ताओं ने होस्ट की गई सामग्री का पता 11 जनवरी, 2022 तक लगाया है। विश्लेषकों का मानना है कि मैलवेयर का प्राथमिक उद्देश्य लक्षित नेटवर्क के अंदर लगातार पहुंच प्राप्त करना है, विशेष रूप से उन सिस्टमों में जो सीधे इंटरनेट से जुड़े नहीं हैं और केवल आंतरिक लैन कनेक्शन के माध्यम से ही पहुंच योग्य हैं।

बुनियादी ढांचे के विस्तार से अंतरराष्ट्रीय स्तर पर पीड़ित सामने आते हैं

खतरे के बुनियादी ढांचे की आगे की जांच से कई क्षेत्रों में फैली कई पीड़ित संस्थाओं का पता चला। शोधकर्ताओं ने अफगानिस्तान स्थित एक इंटरनेट सेवा प्रदाता और अजरबैजान में स्थित एक अन्य अज्ञात संस्था की पहचान की। समान X.509 प्रमाणपत्र साझा करने वाले C2 सर्वरों के एक द्वितीयक समूह ने संयुक्त राज्य अमेरिका और यूक्रेन में संस्थाओं को प्रभावित करने वाले संभावित उल्लंघनों की ओर भी इशारा किया।

लगातार फैल रहे मैलवेयर इम्प्लांट्स से यह स्पष्ट होता है कि कई हमलावर संगठन भले ही गुप्त तकनीकों का इस्तेमाल कर रहे हों, लेकिन उन्नत समूह अभी भी दीर्घकालिक पहुंच और परिचालन नियंत्रण के लिए कस्टम बैकडोर पर बहुत अधिक निर्भर हैं। सुरक्षा विशेषज्ञ चेतावनी देते हैं कि शोबोट जैसे मैलवेयर की खोज को प्रभावित नेटवर्क में व्यापक खतरे की एक महत्वपूर्ण निशानी के रूप में लिया जाना चाहिए।

JFMBackdoor ने अपने अभियान का विस्तार Linux सिस्टम से आगे बढ़ाया

शोबोट के अलावा, शोधकर्ताओं ने कैलिप्सो को अफगानिस्तान के दूरसंचार क्षेत्र को निशाना बनाकर किए गए हमलों के दौरान जेएफएमबैकडोर नामक एक पूर्ण विकसित विंडोज मैलवेयर इम्प्लांट तैनात करते हुए देखा। यह मैलवेयर डीएलएल साइड-लोडिंग के माध्यम से पहुंचाया जाता है, जो एक ऐसी तकनीक है जो वैध अनुप्रयोगों का दुरुपयोग करके दुर्भावनापूर्ण डायनेमिक-लिंक लाइब्रेरी को लोड करती है।

संक्रमण की शुरुआत एक बैच स्क्रिप्ट से होती है जो एक विश्वसनीय निष्पादन योग्य फ़ाइल को लॉन्च करती है, जो बाद में दुर्भावनापूर्ण DLL पेलोड को लोड करती है। सक्रिय होने पर, JFMBackdoor हमलावरों को प्रभावित सिस्टमों पर व्यापक परिचालन नियंत्रण प्रदान करता है। इसकी कार्यक्षमता में निम्नलिखित शामिल हैं:

• रिमोट शेल निष्पादन

अफगानिस्तान और उसके दूरसंचार अवसंरचना पर ध्यान केंद्रित करना, रेड लामासू अभियानों से जुड़े व्यापक रणनीतिक उद्देश्यों के साथ निकटता से मेल खाता है, जिससे इस आकलन को बल मिलता है कि यह अभियान चीनी खतरे की गतिविधि से जुड़े एक बड़े साइबर जासूसी प्रयास का हिस्सा है।