La nouvelle malware RingReaper contourne les logiciels de sécurité Linux via l'interface io_uring

Paris – Une nouvelle menace sophistiquée, connue sous le nom de RingReaper, pèse sur les environnements Linux. Une analyse technique publiée en septembre 2025 par Picus Security détaille comment cet agent post-exploitation exploite l'interface moderne d'entrée/sortie asynchrone (io_uring) du noyau Linux pour échapper à la détection par les solutions Endpoint Detection and Response (EDR).

RingReaper est conçu pour des opérations clandestines. Au lieu de s'appuyer sur des appels système conventionnels fréquemment surveillés par les outils de sécurité, il utilise les primitives io_uring. Cette interface permet à la malware d'effectuer des actions telles que la lecture de fichiers, la gestion des connexions réseau et l'identification des processus via des opérations asynchrones, réduisant ainsi sa visibilité dans la télémétrie système et contournant les mécanismes de détection basés sur les hooks.

L'analyse de Picus Security met en évidence plusieurs tactiques utilisées par RingReaper. Pour la découverte, il exploite io_uring pour énumérer les processus en cours d'exécution en interrogeant le système de fichiers /proc, lister les connexions réseau actives similaires à 'netstat', et identifier les utilisateurs connectés en analysant /dev/pts et les entrées /proc pertinentes. La malware démontre également sa capacité à collecter des données à partir de fichiers système locaux, tels que la lecture du fichier /etc/passwd, le tout via l'interface io_uring.

En minimisant sa dépendance aux appels système traditionnels, RingReaper réduit considérablement son empreinte dans les journaux système et les données collectées par les plateformes de sécurité. Cette technique d'évasion permet aux attaquants de recueillir des informations et de maintenir un accès au sein des systèmes Linux avec une probabilité réduite de déclencher des alertes de sécurité, présentant ainsi de nouveaux défis pour les défenses de cybersécurité.