Detectado un nuevo malware que convierte los sistemas Linux en redes de ataque P2P
Un nuevo RAT modular para Linux usa rootkits, backdoors en PAM y una red P2P entre equipos comprometidos para ocultarse, robar credenciales y sostener ataques a gran escala.
Linux lleva años siendo uno de los pilares invisibles de internet, el que alimenta servidores en la nube, infraestructuras empresariales, plataformas DevOps y gran parte de los servicios digitales que se utilizan cada día en todo el mundo.
Precisamente por eso se ha convertido también en uno de los objetivos más atractivos para los ciberdelincuentes. Ahora, investigadores de Trend Micro han detectado una amenaza preocupante que no se limita a infectar sistemas aislados.
Se trata de un malware que transforma ordenadores Linux comprometidos en una red P2P distribuida capaz de seguir funcionando incluso cuando parte de su infraestructura es derribada.
La amenaza ha sido identificada como QLNX, también conocida como Quasar Linux, y representa un cambio importante en la evolución del malware moderno. Durante años, muchas botnets dependieron de servidores centrales que actuaban como punto de control.
Si estos servidores eran localizados y desconectados, gran parte de la red criminal quedaba inutilizada. QLNX intenta resolver precisamente ese problema mediante una arquitectura descentralizada mucho más resistente.
Un malware diseñado para sobrevivir incluso si parte de la red cae
Los investigadores describen QLNX como un RAT avanzado, es decir, una herramienta de acceso remoto capaz de controlar sistemas infectados de forma persistente. Sin embargo, su verdadero valor está en cómo organiza la comunicación entre equipos comprometidos.
Cabe señalar que, en lugar de depender completamente de un único servidor central, los dispositivos infectados actúan como nodos conectados entre sí dentro de una estructura P2P.
Eso significa que cada sistema comprometido puede intercambiar información con otros nodos de la red y ayudar a mantener operativa la infraestructura maliciosa incluso si algunos elementos son detectados o eliminados.
En una botnet tradicional, las autoridades o investigadores pueden intentar neutralizar el servidor de control principal. Pero en una red P2P distribuida, el problema es mucho más complejo porque no existe un único punto cuya caída desconecte toda la operación.
El malware utiliza técnicas avanzadas para ocultarse dentro de Linux
La investigación también detalla que el malware incorpora múltiples mecanismos diseñados para evitar la detección y mantenerse activo el mayor tiempo posible dentro de los sistemas comprometidos.
Entre ellos aparecen técnicas fileless, un enfoque donde parte del código malicioso evita almacenarse de forma tradicional en disco para reducir rastros visibles y dificultar el análisis forense.
Del mismo modo, utiliza rootkits basados en eBPF, una tecnología legítima del kernel Linux que normalmente sirve para monitorización avanzada y optimización del sistema, pero que en este caso es aprovechada para ocultar procesos y actividades maliciosas.
Otro elemento delicado es el uso de puertas traseras PAM, un sistema de autenticación utilizado en Linux para gestionar accesos y credenciales. Manipularlo permite mantener persistencia incluso aunque parte del malware sea eliminado inicialmente.
Es importante mencionar que todo esto convierte a QLNX en una amenaza mucho más sofisticada que un simple troyano diseñado para ejecutar comandos remotos.
El verdadero objetivo está en la nube y las cadenas de suministro de software
Cabe señalar que este malware no parece estar orientado principalmente a ordenadores domésticos. Según el análisis de los investigadores, uno de sus principales focos está en entornos DevOps, infraestructura cloud y cadenas de suministro de software.
QLNX busca credenciales especialmente valiosas para ese ecosistema. Entre ellas aparecen tokens de GitHub, accesos AWS, configuraciones Docker, entornos Kubernetes y credenciales vinculadas a pipelines CI/CD utilizados para desarrollar y desplegar software.
Eso cambia completamente la escala del problema, ya que comprometer un entorno de desarrollo no significa únicamente infectar un servidor aislado, sino que puede abrir la puerta a manipular apps, acceder a infraestructuras empresariales o introducir código malicioso dentro de procesos de desarrollo utilizados por múltiples compañías.
Por eso los ciberataques contra supply chain se han convertido en una de las grandes obsesiones de la industria de ciberseguridad durante los últimos años.
Linux se ha convertido en el objetivo más atractivo para el malware
Durante mucho tiempo existió la percepción de que Linux era prácticamente inmune frente al malware y los virus comparado con otros sistemas operativos, como Windows. Pero la realidad actual es mucho más compleja.
Linux domina gran parte de la infraestructura crítica moderna, por lo que está presente en centros de datos, plataformas cloud, servidores empresariales y servicios online utilizados diariamente por millones de personas. Cuanto más importante se vuelve una plataforma, más atractivo resulta atacarla.
Aquí está una de las claves para entender el crecimiento de amenazas como QLNX. Los atacantes ya no buscan únicamente infectar dispositivos individuales. Ahora intentan penetrar en sistemas capaces de dar acceso a redes empresariales completas.