Çin hükümeti tarafından desteklendiği düşünülen bir APT (Advanced Persistent Threat) grubu, Linux sunucularını hedef alan yeni bir zararlı yazılım kampanyasıyla ortaya çıktı.
2022 yılının başlarında Linux sunuculara yönelik geliştirildiği anlaşılan 3 adet kernel mode rootkit tespit edildi. İlgili rootkitleri tespit eden Fransız siber güvenlik firması EvaTrack, zararlılara Mélofée adını verdi.
Saldırganlar, Reptile adında açık kaynaklı bir LKM Linux rootkitini kendilerine göre düzenleyerek uzak sunucudan yüklemeler ve kendini gizleme yeteneğine sahip yeni bir zararlı oluşturdu. Ayrıca firma tarafından yapılan analizlere göre Mélofée’nin benzerlerinden herhangi bir farklılığı olmadığı da belirtildi. Muhtemelen saldırganların geliştirdiği yeni bir araç setinin parçası olduğu ve sürekli operasyonel değişikliklere uğradığı söylenebilir.
Çinli APT grupları ile ilişkilendirilmesinin nedeni de iddiaya göre Winnti olarak bilinen APT41 ve Çin’de yer alan kumar sitelerini hedef alan Eart Berberoka ile benzer altyapıları kullanıyor olması. Her ikisinin de devlet destekli olduğu siber güvenlik firmalarınca sıkça söyleniyor.
