🔍 Contexte

Publié le 7 mai 2026 par Assaf Morag (Flare), cet article analyse un outil malveillant nommé PamDOORa, dont le code source est mis en vente sur Rehub, un forum cybercriminel russophone, initialement à 1 600 USD puis réduit à 900 USD.

🛠️ Description technique de PamDOORa

PamDOORa est un backdoor post-exploitation pour Linux (x86_64) qui s’intègre dans la couche PAM (Pluggable Authentication Module) du système d’exploitation. Ses capacités incluent :

  • Accès SSH persistant via une combinaison de port TCP spécifique et d’un mot de passe magique (« magic password »)
  • Capture de credentials de tous les utilisateurs légitimes s’authentifiant via PAM, chiffrés par XOR avec une clé générée à l’exécution, écrits dans /tmp avec des noms de fichiers dynamiques
  • Anti-forensics : manipulation des fichiers de logs lastlog, btmp, utmp et wtmp pour effacer les traces d’accès attaquant
  • Déclencheurs réseau (network-aware triggers) via énumération des descripteurs de fichiers sous /proc/[pid]/fd pour conditionner l’exécution à une connexion réseau spécifique
  • Anti-debugging et architecture modulaire avec pipeline de build
  • Le module compilé produit pam_linux.so (chargé en tant que module additionnel, sans remplacement de pam_unix.so)

🔗 Flux d’attaque

  1. L’attaquant obtient un accès root via un exploit ou vecteur d’accès initial séparé
  2. Déploiement de PamDOORa : injection d’un module PAM malveillant dans la pile d’authentification
  3. Activation du backdoor SSH via port TCP et mot de passe magique spécifiques
  4. Capture des credentials des utilisateurs légitimes (chiffrés XOR, stockés dans /tmp)
  5. Manipulation des logs d’authentification pour effacer les traces

👤 Acteur malveillant

L’alias darkworm est associé à la vente sur Rehub (2026). Flare a identifié 5 personas distinctes utilisant cet alias sur plusieurs forums (Rehub, SpyHackerz, Korovka, Antichat, Cracked.to), avec des niveaux techniques très variables. Le vendeur de PamDOORa est évalué comme Medium–High en crédibilité technique, avec des extraits de code réalistes alignés sur des méthodes PAM connues.

📊 Comparaison avec l’existant

Flare a recensé 22 dépôts GitHub correspondant à des backdoors PAM open-source. PamDOORa se distingue par l’intégration cohérente de techniques connues (hooks PAM, capture de credentials, manipulation de logs) dans un implant modulaire et configurable, le rapprochant d’un outillage de niveau opérateur plutôt que d’un simple proof-of-concept.

📌 Type d’article

Analyse technique et de threat intelligence basée sur une annonce dark web et des captures d’écran partagées par l’acteur — visibilité partielle, sans accès au code source complet.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • darkworm (cybercriminal) —

TTP

  • T1556.003 — Modify Authentication Process: Pluggable Authentication Modules (Credential Access)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1070.002 — Indicator Removal: Clear Linux or Mac System Logs (Defense Evasion)
  • T1552.004 — Unsecured Credentials: Private Keys (Credential Access)
  • T1543 — Create or Modify System Process (Persistence)
  • T1021.004 — Remote Services: SSH (Lateral Movement)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1083 — File and Directory Discovery (Discovery)

IOC

  • Fichiers : pam_linux.so
  • Chemins : /tmp
  • Chemins : /etc/pam.d/sshd
  • Chemins : /etc/pam.d/
  • Chemins : /proc/[pid]/fd

Malware / Outils

  • PamDOORa (backdoor)

🟡 Indice de vérification factuelle : 55/100 (moyenne)

  • ⬜ flare.io — source non référencée (0pts)
  • ✅ 20753 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 5 IOCs (IPs/domaines/CVEs) (10pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 8 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : darkworm (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://flare.io/learn/resources/blog/pamdoora-new-linux-pam-based-backdoor-sale-dark-web