2020 yılının ortalarından bu yana, daha sonra Gelsemium siber casusluk kümesiyle lişkilendirilen birçok farklı kampanyayı tahlil eden uzmanlar, bu berbat emelli yazılımı Gelsevirine isimli birinci sürümüne, yani 2014 yılına kadar takip etti. 

Radara yakalanmayan casusluk kümesi

ESET telemetrisine nazaran Gelsemium sırf birkaç kurbanı amaç alıyor ve Gelsemium’un özellikleri göz önünde bulundurulduğunda bu durum kümenin siber casuslukla ilgili olduğunu gösteriyor. Kümenin, ahenk sağlayabilen birçok bileşeni var. Şirketin araştırmacısı ve Gelsemium araştırma tahlilinin eş muharriri Thomas Dupuy bu durumu şöyle açıklıyor: “Gelsemium’un zinciri birinci bakışta kolay üzere görünüyor, lakin her basamakta bulunan birçok yapılandırma çalışma esnasındaki ayarları değiştirebilir. Bu durum Gelsemium’un anlaşılmasını zorlaştırıyor.” 

Gelsemium, bilgi toplamak için operatörlere birçok fırsat sağlayan üç bileşenden ve bir eklenti sistemden oluşuyor. Bu bileşenler Gelsemine bırakıcı, Gelsenicine yükleyici ve Gelsevirine ana eklentisinden oluşuyor. 

Tedarik zinciri saldırısının gerisinde da yer alıyor 

Araştırmacılar, Gelsemium’un daha evvel NightScout Operasyonu olarak bildirilen BigNox’a yapılan tedarik zinciri saldırısının gerisindeki küme olduğunu düşünüyor. Uzmanlar tarafından bildirilen bu tedarik zinciri saldırısı, bilgisayarlar ve Mac’ler için bir Android emülatörü olan ve dünya genelinde 150 milyondan fazla kullanıcıya sahip BigNox eser yelpazesinin bir kesimi olan NoxPlayer’in güncelleme sistemine sızdı. İncelemeye nazaran, bu tedarik zinciri saldırısı ile Gelsemium kümesi ortasında benzerlikler bulunuyor. Daha evvel bu tedarik zinciri saldırısına uğrayan kurbanlar, daha sonra Gelsemine tarafından da tehlikeye atıldı.