Die Linux-Malware Sedexp wird nach jedem Systemstart aktiv, bietet eine Reverse-Shell und ist nur schwer aufzufinden. Genutzt wird sie mindestens seit 2022.

Sicherheitsforscher der Risikomanagementfirma Stroz Friedberg, die zum irischen Versicherungskonzern Aon gehört, haben nach eigenen Angaben eine Linux-Malware namens Sedexp entdeckt, die schon mindestens seit 2022 aktiv ist, sich bisher aber jeglicher Erkennung entzogen hat. Laut einem Bericht auf der Aon-Webseite setzen die Angreifer dabei eine kaum bekannte Technik ein, um sich einen dauerhaften Zugriff auf Linux-Systeme zu sichern.

Um auf einem Zielsystem Persistenz zu erreichen, setzt Sedexp demnach auf sogenannte Udev-Regeln. Bei Udev handelt es sich um eine Software, anhand derer der Linux-Kernel Dateien im Verzeichnis /dev verwaltet und damit den Datenaustausch mit verbundenen Geräten ermöglicht.