Un nuevo malware para sistemas Linux, conocido como Plague, ha permanecido oculto durante más de un año, permitiendo a atacantes mantener acceso persistente vía SSH y eludir mecanismos de autenticación.
Este software malicioso representa una amenaza avanzada y difícil de detectar debido a sus técnicas de ofuscación y manipulación del entorno del sistema.
La firma de ciberseguridad Nextron Systems ha identificado esta amenaza, clasificándola como un módulo PAM (Pluggable Authentication Module) malicioso. Este tipo de malware se integra en el núcleo del sistema de autenticación de Linux, manipulando directamente la forma en que se procesan los inicios de sesión.
El investigador de amenazas Pierre-Henri Pezier destacó que “Plague se integra profundamente en la pila de autenticación, sobrevive a actualizaciones del sistema y deja casi ningún rastro forense”.
Características principales del malware Plague
1. Persistencia encubierta mediante PAM
Plague se instala como un módulo de autenticación pluggable, lo que le permite interceptar y modificar el proceso de inicio de sesión sin generar alertas.
2. Acceso oculto mediante contraseñas codificadas
Incluye credenciales estáticas embebidas en el código que permiten a los atacantes iniciar sesión en el sistema sin necesidad de contraseñas legítimas.
3. Eliminación de huellas digitales
El malware borra variables del entorno relacionadas con SSH (SSH_CONNECTION, SSH_CLIENT) y redirige el historial de comandos (HISTFILE) a /dev/null, lo que impide el registro de actividades en los logs del sistema.
4. Técnicas de ofuscación avanzadas
Utiliza múltiples capas de ofuscación de cadenas, evasión de depuración y manipulación del entorno para dificultar su detección y análisis.
5. Invisibilidad ante herramientas antivirus
A pesar de que varias variantes del malware fueron cargadas en VirusTotal en el último año, ningún motor antivirus las ha clasificado como amenazas, lo que sugiere una operación encubierta altamente eficaz.
Evidencias de desarrollo activo
Durante el análisis, los investigadores detectaron artefactos de compilación que indican que el malware ha sido desarrollado y ajustado continuamente a lo largo del tiempo. Los binarios fueron compilados con diferentes versiones del compilador GCC, adaptándose a distintas distribuciones de Linux.
Amenaza persistente en la infraestructura Linux
Plague no es un caso aislado. En mayo de 2025, Nextron también detectó otro malware que aprovechaba la flexibilidad del sistema PAM para robar credenciales, eludir autenticación y mantenerse activo sin ser detectado.
"El backdoor Plague representa una amenaza sofisticada y en evolución para la infraestructura Linux, explotando mecanismos de autenticación para mantener el sigilo y la persistencia", concluyó Pezier.
Plague evidencia un creciente nivel de sofisticación en el malware orientado a infraestructura Linux, especialmente mediante la explotación de módulos PAM. Su capacidad para eludir registros, integrarse en el sistema y mantenerse invisible plantea desafíos serios para la ciberseguridad en entornos Linux empresariales y gubernamentales.
Fuente: somoslibres
