Linux siempre ha tenido la fama de ser súper seguro, el sistema que todo administrador confía para manejar servidores, infraestructuras y hasta dispositivos tecnológicos. Sin embargo, recientemente se ha descubierto una nueva amenaza para Linux llamada WolfsBane, y parece que este malware es una versión adaptada de uno que ya atacaba sistemas Windows, utilizado por el grupo de hackers chinos conocido como Gelsemium.
Según los investigadores de ESET que analizaron WolfsBane, no es cualquier malware: incluye un cuentagotas (para infectar el sistema), un lanzador (para ejecutarse) y una puerta trasera (para mantener el acceso). Además, usa un rootkit de código abierto modificado, lo que le permite esquivar sistemas de detección como todo un experto en sigilo.
Pero eso no es todo. Los mismos investigadores también encontraron otro malware para Linux llamado FireWood, que parece estar relacionado con un antiguo malware de Windows conocido como Project Wood. Esto deja claro que los hackers están intensificando sus esfuerzos para atacar entornos Linux.
El Sigiloso Ataque de WolfsBane
WolfsBane llega a sus objetivos de manera silenciosa, usando un cuentagotas llamado cron. Este pequeño infiltrado se encarga de desplegar el componente inicial del malware, que llega disfrazado de algo inofensivo: un archivo que parece ser parte del entorno de escritorio KDE. Sí, un camuflaje bastante convincente.
Una vez instalado, lo que haga dependerá de los privilegios con los que se ejecute. Si tiene suficiente acceso, puede desactivar SELinux (la herramienta de seguridad de Linux), crear archivos de servicio del sistema o incluso modificar archivos de configuración del usuario para asegurarse de que pueda mantenerse activo, incluso después de reinicios.
Por otro lado, el lanzador de WolfsBane, conocido como udevd, carga su arsenal completo. Esto incluye tres bibliotecas cifradas que contienen toda la funcionalidad maliciosa y las configuraciones necesarias para comunicarse con el servidor de comando y control (C2) de los atacantes. En otras palabras, WolfsBane es como un espía silencioso que no solo se infiltra, sino que establece un canal directo con sus creadores para recibir órdenes y realizar sus misiones.
Flujo de ejecución de WolfsBane (Fuente: ESET)
El golpe final de WolfsBane llega con la carga de una versión modificada del rootkit de usuario BEURK, utilizando el archivo /etc/ld.so.preload. Este truco le permite integrarse profundamente en el sistema para ocultar procesos, archivos y tráfico de red relacionados con sus actividades maliciosas. Básicamente, WolfsBane se asegura de que nadie lo vea mientras hace de las suyas.
Según ESET, este rootkit, apodado WolfsBane Hider, intercepta funciones clave de la biblioteca estándar de C, como open, stat, readdir y access. ¿Qué hace con esto? Mientras las funciones parecen trabajar de forma normal, filtran cualquier rastro que pueda revelar la presencia del malware. Es como si el sistema se pusiera una venda en los ojos cuando pasa algo sospechoso.
El objetivo principal de WolfsBane es ejecutar comandos enviados desde el servidor de comando y control (C2). Funciona con un sistema de comandos predefinidos que se vinculan a funciones específicas, algo muy similar a cómo opera su versión para Windows.
Estos comandos permiten realizar todo tipo de tareas: mover o modificar archivos, robar datos y manipular el sistema comprometido a voluntad. En pocas palabras, Gelsemium obtiene control total sobre la máquina infectada, con la capacidad de convertirla en una herramienta más para sus operaciones de ciberespionaje.
Conoce más sobre: Las 5 Técnicas de Malware Más Comunes en 2024
¿Qué es FireWood?
FireWood es otra puerta trasera diseñada para Linux que, aunque tiene una conexión indirecta con Gelsemium, es capaz de sostener campañas de espionaje duraderas y altamente adaptables. Este malware permite a los atacantes realizar todo tipo de operaciones, como mover y manipular archivos, ejecutar comandos de shell, cargar y descargar bibliotecas, e incluso robar datos.
Una de las herramientas más preocupantes de FireWood es un archivo llamado usbdev.ko, que parece actuar como un rootkit a nivel de kernel. Esto significa que puede ocultar procesos y actividades maliciosas con bastante eficacia, haciendo que sea extremadamente difícil de detectar.
Para mantenerse activo en el sistema, FireWood se asegura de establecer persistencia creando un archivo de inicio automático llamado gnome-control.desktop dentro de la carpeta .config/autostart/. Desde allí, puede incluir comandos que se ejecutan automáticamente cada vez que se inicia el sistema, asegurando que el malware siempre esté listo para operar.
Si estás buscando más información o quieres detalles técnicos (como indicadores de compromiso), existe un repositorio en GitHub que reúne todo lo relacionado con estas nuevas familias de malware dirigidas a Linux. Es un recordatorio de que incluso los sistemas más robustos necesitan defensas actualizadas frente a estas amenazas sofisticadas.
Podría interesarte leer: Análisis de Malware con Wazuh
Conclusión
Gelsemium y su malware Wolfsbane son una prueba más de que las amenazas en ciberseguridad no dejan de evolucionar. Este tipo de ataques nos recuerdan que proteger sistemas Linux, y cualquier infraestructura tecnológica, no es algo que podamos tomar a la ligera. Los hackers siempre están buscando nuevas formas de colarse, y nosotros tenemos que estar un paso adelante.
La clave está en mantenerse alerta: infórmate, aplica buenas prácticas de seguridad y responde rápido si algo parece fuera de lugar. Las herramientas de los atacantes seguirán volviéndose más sofisticadas, pero con una estrategia sólida de ciberseguridad, puedes reducir riesgos y evitar ser el próximo objetivo.
