New GoGra malware for Linux uses Microsoft Graph API for comms

1 minute de lecture

Mis à jour : April 22, 2026

GoGra : Une porte dérobée Linux exploitant l’API Microsoft Graph

Le groupe d’espionnage « Harvester », actif depuis 2021, a déployé une variante Linux de son logiciel malveillant GoGra. Ce backdoor se distingue par une furtivité élevée en utilisant l’infrastructure légitime de Microsoft pour piloter ses opérations.

Points clés :

Vecteur d’attaque : Les victimes sont incitées à exécuter des binaires ELF déguisés en fichiers PDF.
Infrastructure C2 : Le malware utilise l’API Microsoft Graph et des identifiants Azure AD codés en dur pour communiquer via une boîte de réception Outlook (« Zomato Pizza »).
Persistance : Le logiciel s’installe via systemd et des entrées XDG autostart, se faisant passer pour l’outil de surveillance système « Conky ».
Mécanisme de commande : Le malware interroge la boîte mail toutes les deux secondes pour récupérer des instructions chiffrées (AES-CBC), les exécute, puis envoie le résultat via un email de réponse avant de supprimer la commande originale.
Attribution : Le partage de code quasi identique avec la version Windows confirme l’implication du groupe Harvester, visant principalement les secteurs des télécommunications, du gouvernement et de l’informatique.

Vulnérabilités :

Aucune CVE spécifique n’est associée, l’attaque repose sur l’abus de fonctionnalités légitimes (API Microsoft Graph) et le détournement d’identifiants (Credential Abuse).

Recommandations :

Surveillance réseau : Auditer les requêtes sortantes vers les APIs Microsoft Cloud provenant de processus suspects ou non autorisés.
Contrôle des accès : Appliquer le principe du moindre privilège aux identifiants Azure AD pour limiter l’impact en cas de compromission.
Formation des utilisateurs : Sensibiliser les employés à la méfiance envers les fichiers exécutables masqués sous des extensions de documents courants.
Gestion des logs : Surveiller les entrées autostart (XDG) et les services systemd suspects, ainsi que l’activité inhabituelle dans les boîtes mail Outlook (flux de messages entrants/sortants anormaux).

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

New GoGra malware for Linux uses Microsoft Graph API for comms

GoGra : Une porte dérobée Linux exploitant l’API Microsoft Graph

Partager sur

Vous pourriez aimer

[Guest Diary] Beyond Cryptojacking: Telegram tdata as a Credential Harvesting Vector, Lessons from a Honeypot Incident, (Wed, Apr 22nd)

Au-delà du minage : Le dossier « tdata » de Telegram comme vecteur de vol d’identité

Weekly Update 500

Bilan personnel : 500 semaines de veille

Toxic Combinations: When Cross-App Permissions Stack into Risk

Risques de Sécurité : La Menace des « Combinaisons Toxiques » dans les Environnements SaaS

Spain dismantles major $4.7M manga piracy platform, arrests four

Démantèlement d’une plateforme de piratage de mangas en Espagne