Geçtiğimiz sekiz yıl içinde bir düzineden fazla APT’nin Linux zararlı yazılımları ve Linux tabanlı modüller kullandığı görüldü. Bunlar arasında Barium, Sofacy, Lamberts ve Equation gibi tanınmış tehdit grupları yer aldı. Son dönemde gerçekleşen WellMess ve TwoSail Junk adlı grup tarafından düzenlenen LightSpy gibi saldırılar da bu işletim sistemini hedef aldı. Tehdit grupları elindeki silahları Linux araçlarıyla çeşitlendirerek daha fazla kişiye daha etkili şekilde erişebiliyor.

Büyük kurumsal şirketler ve devlet kurumları arasında Linux’u masaüstü ortamı olarak kullanma konusunda ciddi bir eğilim var. Bu da tehdit gruplarını bu platforma yönelik zararlı yazılım geliştirmeye itiyor. Daha az popüler bir işletim sistemi olan Linux’un zararlı yazılımların hedefi olmayacağı düşüncesi ortaya yeni siber güvenlik riskleri çıkarıyor. Linux tabanlı sistemlere yönelik hedefli saldırılar çok sık görülmese de bu platform için tasarlanan uzaktan kontrol kodları, arka kapılar, izinsiz erişim sağlayan yazılımlar ve hatta özel açıklar bulunuyor.  Saldırı sayısının az olması yanıltıcı olabiliyor. Linux tabanlı sunucular ele geçirildiğinde çok ciddi sonuçlar ortaya çıkabiliyor. Saldırganlar yalnızca sızdıkları cihaza değil Windows veya macOS kullanılan uç noktalara da erişebiliyor. Bu da saldırganların fark edilmeden daha çok yere ulaşmasını sağlıyor.

Örneğin, gizli veri sızdırma yöntemleriyle bilinen ve Rusça konuşan kişilerden oluşan Turla adlı grup, kullandığı araç setini yıllar içinde değiştirerek Linux arka kapılarından da yararlanmaya başladı. 2020’nin ilk aylarında raporlanan Penguin_x64 adlı Linux arka kapısının yeni bir sürümü, Temmuz 2020 itibarıyla Avrupa ve ABD’de onlarca sunucuyu etkiledi.

Korece konuşan kişilerden oluşan Lazarus adlı APT grubu ise araç setini çeşitlendirerek Windows dışındaki platformlarda da kullanılabilen zararlı yazılımlar geliştirmeye devam ediyor. Kaspersky yakın zaman önce, MATA adlı çok platformlu zararlı yazılım çerçevesi hakkında bir rapor yayınladı. Haziran 2020’de ise araştırmacılar Lazarus’un finans kuruluşlarını hedef aldığı casusluk saldırıları “Operation AppleJeus” ve “TangoDaiwbo” ile bağlantılı yeni örnekleri analiz etti. Analiz sonucunda örneklerin Linux zararlı yazılımları olduğu görüldü.