过往黑客的主要标的往往是Windows电脑，但随着企业有许多应用系统采用Linux操作系统，不少黑客团体也针对这种操作系统开发相关工具。

例如，中国黑客Gelsemium原先使用恶意软件Gelsevirine攻击Windows电脑，但近期资安业者ESET看到名为WolfsBane的Linux变种版本。会有这样的变化，研究人员认为，很有可能是Windows端点防护已有所改进，使得黑客转向可通过互联网存取的应用系统，而这些系统大多以Linux建置。

这些恶意程序之所以曝光，源于恶意程序分析平台VirusTotal，去年收到从台湾、菲律宾、新加坡上传的WolfsBane，由于Gelsemium原先的主要攻击目标，是东亚与中东的企业组织，这样的情况相当不寻常。

这个后门程序的攻击链，主要是从恶意程序加载工具（Dropper）开始，运行后门程序WolfsBane，这样的做法与Windows版后门程序Gelsevirine雷同。值得一提的是，黑客也运用修改过的Userland Rookit，这么一来，攻击者就有机会借此隐匿行踪。

他们也看到Gelsemium使用的另一个后门程序FireWood，这个后门也是从Windows版衍生而来，但似乎与这些黑客无直接关联。研究人员推测，Gelsemium很有可能与多个中国黑客组织共用此后门程序。

究竟这些黑客如何入侵受害组织？研究人员表示尚缺乏相关证据能够证明，但根据这些黑客过往的战略、手段、流程（TTP），他们认为，黑客很有可能通过未知的网页应用程序漏洞，取得服务器的存取权限。

接着，攻击者将伪装成工作调度公用工具cron的恶意程序加载工具运行，一旦启动，就会创建隐藏文件夹$HOME/.Xl1，并埋入恶意软件启动工具（Launcher）及后门程序。而这个文件夹名称，显然是模仿X Window系统的名称「X11」。

攻击者将以root权限运行恶意软件启动工具，停用SELinux防护机制，窜改系统配置以便维持在受害主机活动。

完成后攻击就会进入下个阶段，运行恶意软件启动工具，黑客将其伪装成桌面环境KDE的组件来掩人耳目。

最后，就是正式启动后门程序的有效酬载。此后门程序的运行过程，先是加载嵌入的程序库libMainPlugin.so，然后利用另外两个程序库libUdp.so、libHttps.so创建网络通信，然后从C2接收命令。

研究人员指出，这批Linux作案工具，代表Gelsemium攻击目标出现变化，而这个黑客组织并非唯一这么做的网络罪犯，因为，研究人员发现，恶意软件转移到Linux平台的情况，有逐渐上升的趋势。