¿Puede un archivo matar un sistema con solo su nombre? Los hackers chinos demostraron que sí

Investigadores de la empresa Trellix revelaron un inusual esquema de ataques contra Linux, en el que el elemento clave no es el adjunto con contenido malicioso, sino el propio nombre del archivo dentro del archivo comprimido. La campaña comienza con el envío masivo de correos presentados como una invitación a participar en una encuesta sobre productos cosméticos con la promesa de un incentivo en efectivo. Los adjuntos contienen un archivo RAR con un fichero cuyo nombre parece «ziliao2.pdf`{echo,<команда в кодировке Base64>}|{base64,-d}|bash`».

La particularidad de este ataque es que el código malicioso está incrustado directamente en el nombre del archivo, no en su contenido. Al intentar procesar ese nombre con scripts inseguros se produce la inyección de comandos. El truco funciona gracias a la práctica vulnerable de usar en las shells construcciones como eval o echo sin una filtración adecuada. Las soluciones antivirus por lo general no analizan los nombres de archivo, lo que hace este método especialmente insidioso.

Para ejecutar el código malicioso no basta con extraer el archivo del RAR. El peligro surge cuando la shell o un script automático intentan parsear su nombre. Entonces de la cadena se extrae un cargador codificado en Base64, que descarga y ejecuta un binario ELF para la arquitectura correspondiente del sistema —ya sea x86_64, i386, i686, armv7l o aarch64. El módulo descargado se conecta al servidor de control, recibe un backdoor VShell cifrado, lo descifra y lo ejecuta en la memoria.

VShell es una herramienta de administración remota escrita en Go, que emplean activamente agrupaciones chinas, incluido UNC5174. Soporta shell inverso, trabajo con archivos, gestión de procesos, reenvío de puertos e interacción cifrada con el servidor de mando. El programa funciona completamente en memoria, sin dejar huellas en el disco, lo que dificulta mucho su detección. Otra amenaza es su capacidad para afectar a una amplia gama de dispositivos Linux.

Trellix subraya que la propia técnica para crear nombres de ese tipo no es viable manualmente: se usan herramientas externas o scripts que evaden las comprobaciones estándar de entrada en la shell. Eso apunta a una infraestructura de ataque bien preparada.

Paralelamente, la compañía Picus Security presentó el análisis de una nueva herramienta de postexplotación llamada RingReaper, que utiliza el mecanismo de entrada/salida asíncrona io_uring del kernel de Linux.

A diferencia de las llamadas estándar read, write, send y connect, este enfoque se apoya en primitivas asíncronas, lo que permite evadir herramientas de monitorización basadas en el interceptado de funciones del sistema. RingReaper puede recopilar información sobre procesos, sesiones, conexiones de red y usuarios, obtener datos de /etc/passwd, utilizar binarios SUID para escalar privilegios y borrar los rastros de su actividad.

Ambos desarrollos demuestran lo rápido que evolucionan los métodos de ataque contra Linux: desde la explotación de nombres de archivo en archivos comprimidos hasta el uso encubierto de funciones de bajo nivel del kernel. Muestran que las medidas de protección habituales cada vez son menos eficaces frente a los nuevos enfoques de ocultamiento e intrusión.