网络安全研究人员详细介绍了一项新的黑客行动，该行动可能以东南亚的实体为目标，工具是一种以前未被识别的Linux恶意软件，该恶意软件被用于进行远程访问，此外还可以收集凭证和充当代理服务器。

该恶意软件家族被斯洛伐克网络安全公司ESET称为“FontOnLake”，据说具有“设计良好的模块”，可以不断升级新功能。上传到VirusTotal的样本表明，可能最早在2020年5月，利用该威胁的入侵就发生了。

Avast和Lacework实验室正在追踪同样的恶意软件，其代号是HCRootkit。

ESET研究人员Vladislav Hrčka说:“FontOnLake工具隐匿性强，再加上先进的设计和较低的攻击次数，都表明它们被用于有针对性的攻击。”“为了收集数据或进行其他恶意攻击，这个恶意软件家族使用修改过的合法二进制文件，这些二进制文件被用以加载进一步的组件。事实上，为了隐藏它的存在，FontOnLake总是与一个rootkit同时出现。这些二进制文件通常在Linux系统上使用，而且持续时间按比较长。”

FontOnLake的工具集包括三个组件，包括木马版本的合法Linux实用程序，该程序用于加载内核模式的rootkit和用户模式后门，所有这些都使用虚拟文件相互通信。基于c++的移植设备本身被设计用来监视系统，在网络上秘密执行命令，并窃取帐户凭证。

后门的第二种排列还具有代理、操作文件、下载任意文件的功能，而第三个变体除了合并其他两个后门的功能外，还配备了执行Python脚本和shell命令的功能。

ESET表示，他们发现了两个不同版本的Linux rootkit，它们基于一个名为Suterusu的开源项目，在功能上有重叠，包括隐藏进程、文件、网络连接和自身，同时也能够执行文件操作，提取并执行用户模式的后门。

目前还不清楚攻击者是如何获得对网络的初始访问权限的，但这家网络安全公司指出，攻击背后的活动者“极度谨慎”，通过依赖不同的、特别的C2服务器和不同的非标准端口来避免留下任何痕迹。

Hrčka说:“攻击者对网络安全非常精通，这些工具可能在未来的活动中被重复使用。”“由于大多数功能的设计只是为了隐藏它的存在，中继通信，并提供后门访问，我们认为这些工具主要用于维护基础设施，以服务于其他未知的恶意目的。”