Une campagne de maliciels distribuant un nouveau backdoor nommé « SpeakUp » fait actuellement des ravages sur les serveurs Linux et MacOS (plus de 70 000 dans le monde entier, principalement en Asie de l'est et en Amérique latine avec les Etats-Unis en ligne de mire). SpeakUp cible les serveurs physiques ainsi que ceux basés sur le cloud, comme ceux hébergés par Amazon Web Services.
Le groupe de pirates à l’origine de cette campagne utilise la vulnérabilité d'exécution de code à distance CVE-2018-20062 ThinkPHP comme vecteur d'infection initiale. SpeakUp a la capacité d’exécuter du code arbitraire sur la machine locale, télécharger et exécuter un fichier à partir d’un serveur distant, désinstaller des programmes et envoyer des données forensic mises à jour. Actuellement, les appareils compromis sont surtout utilisés pour exécuter des miner bots XMRig. SpeakUp peut aussi scanner et infecter des machines plus vulnérables sur le réseau local de serveurs compromis.
Les auteurs de cette campagne peuvent également utiliser le backdoor planté sur les machines compromises pour déployer d’autres charges utiles en plus du miner XMRig, ce qui pourrait le rendre beaucoup plus dangereux et probablement plus intrusif. De plus, étant donné que SpeakUp a la capacité de scanner et de contaminer d'autres appareils sur le réseau, le taux de propagation peut augmenter à tout moment, la hausse du nombre d'infections entre le 23 et le 24 janvier étant la preuve de son potentiel « infectieux ». D’après les chercheurs de CheckPoint qui ont été les premiers à tirer la sonnette d’alerte sur ce malware armé d’une impressionnante valise d’exploits et d’autres outils pour la propagation, SpeakUp pourrait bien être le catalyseur d'une cyber-offensive majeure à venir.