Un nuevo malware para Linux, que ha pasado desapercibido por más de un año, está dando mucho de qué hablar en la comunidad de ciberseguridad. Bautizado como "Plague", este malware permite a los atacantes mantener acceso persistente vía SSH, saltándose por completo los mecanismos de autenticación en los sistemas afectados.
El descubrimiento fue realizado por el equipo de seguridad de Nextron Systems, quienes explican que Plague funciona como un módulo malicioso de autenticación PAM (Pluggable Authentication Module). Lo realmente preocupante es que emplea técnicas avanzadas de ofuscación por capas y manipulación del entorno, lo que le permite evadir fácilmente a la mayoría de las herramientas de seguridad tradicionales.
Lo más inquietante de este malware es, sin duda, lo bien que se camufla. A lo largo del último año, se subieron varias versiones de Plague a plataformas como VirusTotal, y el resultado fue sorprendente (y preocupante): ni un solo motor antivirus lo detectó como malicioso. Literalmente, una tasa de detección de 0 sobre 66. Eso significa que Plague logró pasar completamente desapercibido para todas las soluciones de seguridad convencionales.
Malware no detectado
¿Cómo funciona Plague? Técnicas de evasión, persistencia y sigilo en sistemas Linux
Este malware no solo es sigiloso, sino que también está diseñado específicamente para hacerle la vida imposible a los analistas de seguridad. Plague cuenta con varias funciones avanzadas que complican su análisis y detección: incorpora técnicas anti-depuración, ofuscación de cadenas, contraseñas codificadas para acceder sin levantar sospechas, y la capacidad de borrar cualquier rastro de actividad que normalmente delataría al atacante en el sistema comprometido.
Una vez que el malware se carga en el dispositivo, hace una verdadera limpieza a fondo del entorno: elimina variables relacionadas con SSH, redirige el historial de comandos a /dev/null para que no quede registro alguno, borra logs de auditoría, metadatos de sesiones y prácticamente desaparece toda evidencia del ataque. Es como si nunca hubiera estado ahí.
Uno de los trucos más efectivos de Plague es su capacidad para “desinfectar” el entorno de ejecución: elimina variables como SSH_CONNECTION y SSH_CLIENT usando unsetenv, mientras que redirige HISTFILE a /dev/null, evitando que se registre cualquier comando ejecutado en la sesión.
Durante el análisis, los investigadores también encontraron evidencias de que Plague lleva tiempo en desarrollo. Se identificaron artefactos de compilación que indican que se han generado múltiples versiones del malware, utilizando diferentes versiones de GCC y distribuciones de Linux. Es decir, esto no es un experimento puntual: es un proyecto maduro y activo.
Y lo más preocupante: ninguna de las variantes detectadas fue marcada como maliciosa por los motores antivirus en VirusTotal, lo que sugiere que sus creadores han estado operando bajo el radar, perfeccionando el malware sin ser detectados durante al menos un año.
Antidepuración
Una de las piezas clave del sigilo de Plague está en su forma de ocultar información mediante cifrado de cadenas. Las primeras versiones del malware usaban un método bastante simple: una operación XOR básica, donde cada byte se combina bit a bit con una clave fija. Era rudimentario, pero suficiente para evadir escaneos superficiales.
Con el tiempo, sus creadores han ido elevando el nivel de sofisticación. Las variantes más recientes implementan un esquema similar a RC4, un algoritmo de cifrado por flujo, con versiones personalizadas de las rutinas KSA (Key Scheduling Algorithm) y PRGA (Pseudo-Random Generation Algorithm). Básicamente, el malware genera un flujo de claves pseudoaleatorio para descifrar dinámicamente las cadenas ocultas mientras se ejecuta, dificultando mucho su análisis estático.
En cuanto a su persistencia, Plague se disfraza como un módulo PAM legítimo, apuntando directamente a la función crítica pam_sm_authenticate(), que es la encargada de validar las credenciales del usuario durante el inicio de sesión.
Este enfoque es especialmente eficaz porque aprovecha la arquitectura modular de PAM (Pluggable Authentication Modules). En Linux, los procesos de autenticación cargan dinámicamente bibliotecas compartidas según la configuración definida en /etc/pam.d/. Al incrustarse dentro de esta ruta confiable, Plague no solo pasa desapercibido, sino que también obtiene acceso directo a credenciales en texto plano y a las decisiones internas del sistema sobre si permitir o no un inicio de sesión.
Conoce más sobre: Kosken: El Nuevo Malware de Linux que se Esconde en Imágenes de Pandas
Conclusión: Una amenaza real que no se ve venir
Plague no es cualquier malware. Estamos ante una puerta trasera altamente sofisticada, diseñada con inteligencia y paciencia para infiltrarse en sistemas Linux y quedarse ahí sin ser detectada. Lo más preocupante es cómo aprovecha los propios mecanismos de autenticación del sistema (algo tan básico y esencial) para camuflarse y mantener acceso constante.
Gracias a su combinación de ofuscación avanzada, credenciales codificadas y manipulación directa del entorno, Plague consigue esquivar por completo las herramientas de seguridad tradicionales. Y eso lo convierte en una amenaza real y en evolución, especialmente en entornos donde la visibilidad y el control del sistema son críticos.
La clave está en estar preparados: detectar lo invisible requiere nuevas formas de pensar la seguridad en Linux.