Un grupo de investigadores en ciberseguridad ha encendido las alarmas al descubrir una sofisticada puerta trasera en sistemas Linux, bautizada como Plague, que ha logrado permanecer oculta durante más de un año, exponiendo sistemas críticos a un sigiloso robo de credenciales.
El hallazgo fue reportado por Pierre-Henri Pezier, investigador de Nextron Systems, quien detalló que Plague se disfraza como un módulo de autenticación PAM (Pluggable Authentication Module), permitiendo a los atacantes burlar silenciosamente los sistemas de autenticación y obtener acceso persistente a través de SSH.
Para ponerlo en perspectiva: los módulos PAM son piezas clave en la gestión de autenticación en Linux y UNIX, cargándose en procesos privilegiados. Esto significa que, si un atacante logra inyectar un módulo malicioso, podría robar credenciales, eludir controles de acceso y permanecer invisible para las herramientas de seguridad tradicionales.
Plague ha evolucionado durante un año sin ser detectado
Nextron reveló que encontró múltiples muestras del malware subidas a VirusTotal desde julio de 2024, sin que ninguna fuera detectada como maliciosa. Lo más preocupante es que la diversidad de artefactos descubiertos sugiere que los atacantes han estado perfeccionando activamente Plague durante todo este tiempo.
Este implante malicioso posee cuatro características que lo hacen especialmente letal:
- Uso de credenciales estáticas que permiten el acceso encubierto a los sistemas.
- Técnicas anti-análisis, como anti-debugging y ofuscación de cadenas, que dificultan su estudio.
- Borrado de evidencias de sesiones SSH, eliminando variables de entorno como SSH_CONNECTION y SSH_CLIENT.
- Redirección de archivos de historial a /dev/null, evitando que los comandos ejecutados dejen rastro.
Prácticamente indetectable: sobrevive a actualizaciones y borra sus huellas
Lo que hace a Plague especialmente peligroso es su capacidad para integrarse profundamente en la pila de autenticación del sistema, permitiéndole sobrevivir incluso a actualizaciones del sistema operativo. Además, manipula el entorno de manera tan efectiva que prácticamente no deja huellas forenses.
Pezier advierte que las capas de ofuscación y las técnicas de evasión utilizadas en Plague la convierten en una de las puertas traseras más difíciles de detectar hasta la fecha. «Las herramientas de seguridad tradicionales no están equipadas para encontrar este tipo de amenazas profundamente arraigadas», señaló.
Este descubrimiento pone nuevamente en evidencia la necesidad urgente de fortalecer la monitorización de los módulos PAM y adoptar medidas proactivas de detección ante amenazas persistentes avanzadas.