Estuvo presente en el kernel de Linux durante un año, y nadie lo sabía

Durante un año, un módulo malicioso llamado Plague permaneció invisible para las herramientas de protección de sistemas Linux, a pesar de su activa propagación y profunda integración en una parte crítica del sistema: la pila de autenticación. Su detección solo fue posible gracias al análisis de artefactos cargados en VirusTotal a finales de julio de 2024. Ninguno de ellos ha sido identificado hasta ahora por los antivirus como una amenaza, lo que indica un nivel extremadamente alto de camuflaje y precaución por parte de sus desarrolladores.

Según los datos de los especialistas de Nextron Systems, Plague se disfraza como un componente legítimo de PAM, el sistema de autenticación modular que desempeña un papel clave en la gestión del acceso a todos los servicios de Linux y UNIX. Al integrarse en estos procesos, el código malicioso obtiene los mismos privilegios que los módulos legítimos y puede eludir prácticamente inadvertido las verificaciones de autenticidad del sistema. Esto brinda a los atacantes un acceso remoto persistente a través de SSH, así como la capacidad de interceptar nombres de usuario y contraseñas sin ningún tipo de notificación o rastro.

Los especialistas destacaron especialmente que Plague está diseñado para resistir el análisis. Utiliza técnicas anti-depuración, oculta cadenas y llamadas al sistema, y manipula variables de entorno relacionadas con conexiones SSH. El código malicioso elimina variables como SSH_CONNECTION y SSH_CLIENT mediante la función unsetenv, y redirige el historial de comandos a /dev/null para evitar que se guarde en el archivo HISTFILE. Esto imposibilita cualquier auditoría posterior de la actividad mediante los registros estándar de la shell.

Una característica particular de este módulo es su resistencia a las actualizaciones del sistema. Gracias a su profunda integración en la infraestructura PAM, Plague mantiene su presencia incluso después de reiniciar servicios e instalar nuevos paquetes. Este nivel de persistencia, combinado con su invisibilidad, lo hace extremadamente peligroso, especialmente en entornos corporativos, donde PAM suele quedar fuera del alcance de los escáneres de amenazas habituales.

Además, los expertos de Nextron Systems descubrieron varias versiones del módulo malicioso, lo que indica una fase activa de desarrollo y posibles pruebas de distintas configuraciones en sistemas reales. Esto podría significar la preparación para una campaña más amplia o un ataque ya en curso contra infraestructuras específicas.

Plague no es simplemente otro malware para Linux, sino un síntoma de un nuevo nivel de amenazas, donde el ataque no comienza explotando una vulnerabilidad, sino sustituyendo componentes de confianza del sistema. Este enfoque resulta especialmente preocupante, dado el bajo nivel de visibilidad de los módulos PAM en las herramientas de monitorización estándar y la insuficiente protección de sus cadenas de carga. Considerando la capacidad de emular completamente el funcionamiento normal y la total ausencia de rastros, Plague podría permanecer invisible durante años, como ya ha ocurrido una vez.