Entre noviembre y diciembre de 2024, investigadores de la Unidad 42 de Palo Alto Networks descubrieron un backdoor para Linux hasta ahora desconocido, llamado Auto-Color. Este malware ha sido detectado en ataques dirigidos a universidades y organismos gubernamentales en América del Norte y Asia, lo que sugiere una amenaza seria para infraestructuras críticas.
Lo que hace que Auto-Color sea especialmente preocupante es su capacidad para evadir la detección y mantenerse en los sistemas infectados durante largos períodos. Aunque comparte ciertas similitudes con la familia de malware Symbiote Linux, descubierta en 2022 por BlackBerry, los expertos aseguran que son variantes distintas. Si trabajas con servidores Linux o manejas datos sensibles, esta amenaza no es algo que puedas pasar por alto.
Un malware sigiloso que se esconde en Linux
Los investigadores aún no tienen claro cómo se infiltra Auto-Color en los sistemas, pero lo que sí saben es que el ataque comienza con la ejecución de un archivo camuflado con nombres aparentemente inofensivos, como "puerta" o "registro".
Si el malware logra ejecutarse con privilegios de root, se instala a fondo en el sistema:
- Agrega un implante de biblioteca maliciosa (libcext.so.2), haciéndose pasar por la legítima libcext.so.0.
- Se copia a sí mismo en /var/log/cross/auto-color, un directorio que a simple vista parece inofensivo.
- Modifica /etc/ld.preload para asegurarse de que su código se ejecute antes que cualquier otra biblioteca del sistema.
Pero aquí viene lo interesante: si no tiene acceso root, Auto-Color se ejecuta igual. En este caso, no puede establecer mecanismos de persistencia, lo que limita su permanencia en el sistema. Sin embargo, sigue brindando acceso remoto a los atacantes, quienes podrían encontrar otra manera de escalar privilegios y tomar el control total. En otras palabras, aunque el malware no se instale completamente, sigue siendo una puerta abierta para futuros ataques.
Cadena de infección de Auto-Color (Fuente: Unidad 42)
Podría interesarte leer: Las 5 Campañas de Malware más Activas en el Primer Trimestre de 2025
¿Cómo Auto-Color se comunica sin ser detectado?
Auto-Color no solo es sigiloso en su instalación, sino que también oculta muy bien sus comunicaciones. Para conectarse con su servidor de comando y control (C2), usa un cifrado propio que le permite ofuscar direcciones, configuraciones y tráfico de red, haciendo que sea mucho más difícil rastrearlo.
Cada vez que se envía una solicitud al C2, la clave de cifrado cambia dinámicamente, lo que complica aún más su detección. Además, Auto-Color verifica la conexión con un sistema de validación basado en valores aleatorios de 16 bytes, asegurándose de que solo se comunique con su servidor legítimo.
Una vez que logra conectarse, los atacantes pueden ordenarle que haga varias cosas, como:
- Abrir un shell inverso para tener acceso remoto total al sistema.
- Ejecutar comandos arbitrarios, dándoles control sobre el dispositivo infectado.
- Modificar o crear archivos, permitiendo que la infección se propague.
- Actuar como un proxy, reenviando tráfico malicioso sin levantar sospechas.
- Ajustar su configuración en tiempo real, adaptándose a diferentes entornos o intentos de detección.
En resumen, Auto-Color no solo se infiltra en los sistemas, sino que se comunica de manera altamente sofisticada para evadir detección y mantener el control del sistema infectado el mayor tiempo posible.
Comandos admitidos por Auto-Color
Auto-Color no es solo un backdoor común, sino que también cuenta con características avanzadas propias de un rootkit. Para ocultar su actividad, engancha funciones de la biblioteca libc y manipula llamadas del sistema, lo que le permite modificar el archivo /proc/net/tcp y disfrazar sus conexiones con el servidor de comando y control (C2). En otras palabras, incluso si alguien intenta revisar las conexiones activas del sistema, Auto-Color las oculta a la vista.
Además, este malware tiene un interruptor de seguridad incorporado, una función que permite a los atacantes borrar inmediatamente cualquier rastro de infección en la máquina comprometida. Esto significa que, si el malware detecta que está en riesgo de ser descubierto, puede autodestruirse en segundos, eliminando archivos, registros y cualquier evidencia que pueda usarse para rastrear su origen o funcionamiento.
Conoce más sobre: Protección contra Rootkits con Wazuh
¿Cómo protegerse de Auto-Color?
Auto-Color es una amenaza seria para sistemas Linux, especialmente en entornos gubernamentales y académicos, que han sido sus principales objetivos hasta ahora. Su capacidad para ocultarse y mantener el acceso remoto lo hace particularmente peligroso, por lo que es clave tomar medidas para detectarlo y bloquearlo a tiempo. Algunas acciones que pueden ayudarte a prevenir una infección incluyen:
- Monitorear cambios en
/etc/ld.preload, ya que Auto-Color lo usa para asegurarse de que su código se ejecute antes que cualquier otra biblioteca del sistema. - Revisar
/proc/net/tcpen busca de conexiones sospechosas, ya que este malware manipula este archivo para ocultar su comunicación con los servidores de control. - Usar soluciones de seguridad basadas en el comportamiento, ya que Auto-Color es bueno evadiendo detección tradicional, pero sigue dejando rastros en su actividad.
Además, es importante analizar los registros del sistema y el tráfico de red en busca de conexiones a direcciones IP maliciosas asociadas con Auto-Color. Tomar estas precauciones puede marcar la diferencia entre prevenir un ataque o lidiar con sus consecuencias.
