Dans le cadre de leurs efforts continus de chasse aux menaces, des chercheurs de Nextron Systems ont identifié un backdoor furtif pour Linux, nommé Plague. Ce backdoor est conçu comme un module d’authentification modulaire (PAM) malveillant, permettant aux attaquants de contourner silencieusement l’authentification du système et d’obtenir un accès SSH persistant.

Bien que plusieurs variantes de ce backdoor aient été téléchargées sur VirusTotal au cours de l’année écoulée, aucun moteur antivirus ne les a signalées comme malveillantes. Cela suggère que Plague a réussi à éviter la détection dans de nombreux environnements. Le backdoor s’intègre profondément dans la pile d’authentification, survit aux mises à jour du système et laisse presque aucune trace médico-légale, ce qui le rend exceptionnellement difficile à détecter avec des outils traditionnels.

Le backdoor Plague est équipé de plusieurs fonctionnalités, notamment l’antidebug, l’obfuscation des chaînes et l’utilisation de mots de passe statiques pour un accès secret. Il efface également les traces des activités des attaquants en modifiant les variables d’environnement et en redirigeant les fichiers d’historique de session.

Les chercheurs soulignent l’importance de la détection proactive à l’aide de la chasse basée sur YARA et de l’analyse comportementale, en particulier pour les implants qui opèrent silencieusement au cœur des systèmes Linux. Des règles YARA spécifiques ont été développées pour détecter ce backdoor.

Cet article est une publication de recherche visant à informer sur une nouvelle menace sophistiquée ciblant l’infrastructure Linux, en exploitant les mécanismes d’authentification de base pour maintenir la furtivité et la persistance.

🧠 TTPs détectés

TTP

[‘T1546.003 - Pluggable Authentication Modules’, ‘T1078 - Valid Accounts’, ‘T1140 - Deobfuscate/Decode Files or Information’, ‘T1027 - Obfuscated Files or Information’, ‘T1070.003 - Clear Command History’, ‘T1027.005 - Indicator Removal on Host’, ‘T1497.001 - Virtualization/Sandbox Evasion: System Checks’]

🔗 Source originale : https://www.nextron-systems.com/2025/08/01/plague-a-newly-discovered-pam-based-backdoor-for-linux/