Ny RingReaper-malware kringgår Linux-säkerhet programm via io_uring-gränssnitt

Stockholm – En ny digital hotbild har identifierats för Linux-system i september 2025. Enligt en detaljerad analys publicerad av Picus Security utnyttjar RingReaper-malwaren Linux-kärnans moderna asynkrona I/O-gränssnitt, io_uring, för att kringgå befintliga Endpoint Detection and Response (EDR)-lösningar.

RingReaper beskrivs som en sofistikerad post-exploitation-agent. Dess syfte är att genomföra hemliga operationer utan att bli upptäckt. Istället för att använda konventionella systemanrop, som säkerhetsverktyg ofta övervakar, använder RingReaper io_uring. Detta gränssnitt tillåter malwaren att utföra operationer som att läsa filer, hantera nätverksanslutningar och identifiera processer på ett dolt sätt, vilket försvårar upptäckt.

Forskare vid Picus Security har observerat att RingReaper använder io_uring för att utföra flera specifika uppgifter. Dessa inkluderar systemupptäcktsfasen (ATT&CK TA0007), där malwaren identifierar pågående processer och aktiva användarsessioner genom att asynkront fråga /proc-filsystemet. Den kartlägger även aktiva nätverksanslutningar, liknande funktionaliteten hos verktyg som netstat, och samlar information om inloggade användare genom att analysera /dev/pts och relevanta /proc-poster. Dessutom visar analysen att malwaren kan läsa lokala systemfiler såsom /etc/passwd, också detta via io_uring.

Genom att undvika traditionella, lättövervakade systemanrop minskar RingReaper sin synlighet i systemloggar och telemetridata som samlas in av EDR-plattformar. Detta tillvägagångssätt gör det möjligt för angripare att samla känslig information och upprätthålla en närvaro i Linux-miljöer med en avsevärt reducerad risk för upptäckt, vilket ställer nya krav på säkerhetsövervakningen.