El Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) publicó un análisis sobre un malware diseñado específicamente para Linux, conocido como “Pygmy Goat”. Este malware se utilizó para crear puertas traseras en dispositivos Sophos Firewall XG, permitiendo ataques sofisticados que, según los expertos, estuvieron vinculados a actores de amenazas chinos.
La semana pasada, Sophos había lanzado una serie de informes titulados "Pacific Rim", en los que detalló cómo estos actores llevaron a cabo ataques dirigidos contra dispositivos de red de borde durante un período de cinco años.
Entre las herramientas maliciosas que identificaron, destacaba un rootkit que se camuflaba utilizando nombres de archivos similares a los de productos legítimos de Sophos. Era como si los atacantes se hubieran disfrazado de técnicos de confianza para infiltrarse en las redes sin ser detectados.
Este malware, diseñado para atacar dispositivos de red, no es cualquier malware digital. Viene cargado con herramientas avanzadas para mantenerse oculto, esquivar detecciones y brindar acceso remoto a los atacantes. Su código es un laberinto, con rutas de ejecución bastante complejas que hacen más difícil rastrearlo.
Aunque el informe del NCSC no señaló directamente a ningún grupo en particular, dejó claro que las técnicas utilizadas tienen un aire muy familiar. Son parecidas a las del malware "Castletap", que Mandiant ya había vinculado con un actor de amenazas patrocinado por el estado chino.
Por su parte, Sophos también mencionó este malware en su informe Pacific Rim, afirmando que el rootkit fue utilizado en ataques durante 2022, conectados a un grupo de amenazas chino conocido como "Tstark".
En palabras de Sophos: "X-Ops identificó dos copias de 'libsophos.so', ambas implementadas utilizando la vulnerabilidad CVE-2022-1040: una en un dispositivo de alto nivel de una entidad gubernamental y la otra en un socio tecnológico de ese mismo departamento". Sí, básicamente el malware se coló en ambas partes, como un espía metiendo una pata en cada puerta para asegurarse de no quedarse fuera.
El malware "Pygmy Goat" es una pieza de software malicioso disfrazada como un archivo legítimo de Linux llamado "libsophos.so". En pocas palabras, actúa como una puerta trasera que permite a los atacantes acceder de forma remota a dispositivos de red basados en Linux, como los firewalls Sophos XG. Es como si alguien se colara en tu casa usando una llave falsa y luego tuviera acceso total para ir y venir cuando quiera.
Una de las trampas ingeniosas que usa es la variable LD_PRELOAD, que le permite cargar su código malicioso directamente en el servicio SSH (sshd). Esto significa que literalmente “se engancha” al programa que gestiona las conexiones entrantes y modifica cómo se aceptan. Básicamente, cambia las reglas del juego para colarse sin ser detectado.
Aquí es donde se pone más astuto: Pygmy Goat analiza todo el tráfico SSH que pasa por el sistema, buscando un patrón único de datos, algo así como un "código secreto" escondido en los primeros 23 bytes de cada paquete. Si encuentra esa secuencia especial (a la que llaman "bytes mágicos"), identifica la conexión como una sesión de puerta trasera y la redirige a un canal interno en Unix (/tmp/.sshd.ipc). Desde ahí, se conecta con su servidor de Comando y Control (C2), permitiendo a los atacantes enviar instrucciones o tomar el control.
Pero eso no es todo. Este malware también está atento a otra forma de comunicación. Escucha en un socket ICMP (el protocolo que normalmente se usa para cosas como el ping) en busca de paquetes que contengan datos cifrados con AES. Estos paquetes incluyen información sobre direcciones IP y puertos que el malware usa para volver a conectarse con su C2. Y, para hacer las cosas más seguras para los atacantes, esa reconexión se hace a través de TLS, un protocolo cifrado. En resumen, tiene múltiples formas de comunicarse y seguir operando sin levantar sospechas.
¿La traducción al lenguaje cotidiano? Pygmy Goat es como un ladrón que no solo entra a tu casa con un pase VIP, sino que además tiene un walkie-talkie que funciona en varios canales para mantenerse en contacto con su jefe, mientras evita que las cámaras de seguridad lo detecten.
Te podrá interesar leer: Análisis de Malware con Wazuh
El NCSC no solo expuso cómo opera este malware, también compartió herramientas para ayudar a detectarlo antes de que cause más problemas. Por ejemplo, el informe incluye hashes de archivos y reglas para YARA y Snort que sirven para identificar esos "bytes mágicos" y el tráfico sospechoso de SSH falso. Es como tener un manual para reconocer las huellas digitales de este malware en tu sistema.
Por otro lado, también se puede hacer una comprobación manual (sí, a veces hay que ensuciarse las manos). Revisar ubicaciones como /lib/libsophos.so, /tmp/.sshd.ipc, /tmp/.fgmon_cli.ipc, /var/run/sshd.pid y /var/run/goat.pid puede revelar si el malware ya está instalado en tu sistema. Es como revisar debajo de la alfombra o en los cajones buscando si alguien dejó algo raro.
Otra buena práctica es configurar un monitoreo para identificar actividades sospechosas, como cargas útiles cifradas en paquetes ICMP (porque, seamos honestos, eso no es algo que normalmente verías en un sistema limpio). También es clave estar atentos al uso de LD_PRELOAD en el entorno del proceso sshd, ya que este comportamiento no es típico y podría ser la señal de que Pygmy Goat está haciendo de las suyas.
En pocas palabras, pon tus sensores a trabajar, revisa los rincones oscuros del sistema y presta atención a cualquier actividad fuera de lo común. Porque, al final, el éxito contra este tipo de malware se basa en ser más rápido y más astuto que él. No esperes a que algo como Pygmy Goat pase desapercibido en tu sistema. Implementar un SOC (Centro de Operaciones de Seguridad) con monitoreo 24/7, expertos revisando cada movimiento sospechoso y herramientas para detectar amenazas como Pygmy Goat, tendrás tranquilidad sabiendo que alguien siempre está cuidando tus sistemas.