駭客鎖定網頁應用程式而來，打造Linux惡意程式的情況，已有資安業者提出警告，呼籲IT人員要嚴加防範，如今有研究人員發現，惡名昭彰的APT41很可能在1年前就開始製作這類惡意程式。

中國資安業者奇安信指出，他們今年4月底發現，代號為Winnti、Earth Baku、Brass Typhoon的中國駭客組織APT41，正在散播ELF形式的後門程式，由於駭客曾利用同一個IP位址散布惡意PHP檔案init_task.txt，這樣的情況引起了他們的注意。

經過調查，他們找出一系列的PHP惡意酬載，包括task_loader、init_task_win32、client_loader、client_task、fetch_task、l0ader_shell等，但特別的是，這些惡意程式不僅能獨立運作，還能搭配task_loader載入其他有效酬載，形成完整的攻擊框架。研究人員提及，所有的程式碼都是透過PHP及PHP-FPM（FastCGI）的處理程序載入、執行，使得有效酬載能在隱匿的狀態下運作。

由於攻擊者透過這些元件組成的PHP木馬程式，能夠感染大量PHP檔案，並能於受害主機植入l0ader_shell，研究人員將其命名為Glutton。根據init_task.txt出現的時間，研究人員推測此後門程式活動已超過1年。

對於這個木馬程式的主要功能，大致可歸納為3種層面，分別是竊取系統資訊、部署後門程式，以及針對熱門的PHP框架，如：ThinkPHP、Yii、Laravel，注入惡意程式碼。

研究人員提及，Glutton採用高度模組化設計，其中核心元件包含了偵測環境的task_loader、後門部署工具init_task、導入混淆機制的client_loader，以及建立C2通訊的client_task。

而對於駭客的攻擊目標，他們認為主要是針對中國及美國，特別鎖定IT服務、社會福利機構、網頁應用程式開發人員。此外，研究人員也提及這些駭客也對其他網路犯罪者下手的情況，APT41將Glutton嵌入其他作案工具，並在駭客論壇兜售，一旦買家執行，就會導致電腦感染Glutton，並載入名為HackBrowserData的工具，從而竊取瀏覽器存放的敏感資訊。