PamDOORa: nuevo backdoor PAM para Linux ofertado en foros rusos

Foto del autor

CyberSecureFox Editorial Team

Los investigadores de la empresa Flare.io han revelado detalles de un nuevo backdoor para Linux llamado PamDOORa, que, según la información disponible, se vende en el foro cibercriminal rusófono Rehub por un actor bajo el seudónimo darkworm. La herramienta es un kit de post-explotación basado en Pluggable Authentication Modules (PAM), que proporciona acceso oculto y persistente a servidores comprometidos a través de OpenSSH. El backdoor está dirigido a sistemas Linux con arquitectura x86_64 y, según se informa, es capaz de interceptar las credenciales de todos los usuarios legítimos que se autentican en la máquina infectada. Por el momento no se han registrado indicios del uso de PamDOORa en ataques reales; sin embargo, su funcionalidad merece la atención de los administradores de sistemas Linux.

Mecanismo de funcionamiento y características técnicas

PAM es un framework de seguridad en Unix/Linux que permite a los administradores integrar distintos mecanismos de autenticación (contraseñas, biometría, tokens) mediante una arquitectura modular sin necesidad de reescribir las aplicaciones existentes. Una característica clave es que los módulos PAM, por lo general, se ejecutan con privilegios de root, lo que convierte cualquier módulo comprometido o malicioso en un elemento críticamente peligroso.

Según el investigador de Flare.io Assaf Morag, PamDOORa implementa varios mecanismos interrelacionados:

  • Acceso mediante «contraseña mágica» — el backdoor activa un inicio de sesión oculto cuando se utiliza una combinación determinada de contraseña y puerto TCP, eludiendo la autenticación estándar;
  • Intercepción de credenciales — a través de hooks de PAM, la herramienta recopila las contraseñas de todos los usuarios que pasan por una autenticación legítima en el servidor;
  • Antiforense — PamDOORa modifica deliberadamente los registros de autenticación, eliminando rastros de actividad maliciosa;
  • Protección frente a depuración — mecanismos integrados de resistencia al análisis;
  • Disparadores de red — activación en función de determinadas condiciones de red;
  • Pipeline de compilación — existencia de un generador para producir módulos adaptados a objetivos concretos.

Es importante tener en cuenta el contexto señalado ya por la empresa Group-IB en septiembre de 2024: PAM no almacena contraseñas, sino que transmite los valores en texto claro entre los módulos. El módulo pam_exec, diseñado para lanzar comandos externos, puede ser utilizado por un atacante para insertar scripts maliciosos en los archivos de configuración de PAM, lo que permite obtener un shell con privilegios y garantizar persistencia oculta en el sistema.

Contexto de aparición en el mercado

Según se informa, el precio inicial de PamDOORa era de 1 600 dólares (anuncio del 17 de marzo de 2026). Para el 9 de abril, el actor darkworm había reducido el coste casi un 50 % — hasta 900 dólares. Esta rebaja puede indicar falta de interés por parte de los compradores o el deseo de acelerar la venta.

En opinión de Morag, PamDOORa supone una evolución respecto a los backdoors PAM abiertos ya existentes. Aunque cada una de las técnicas utilizadas está bien documentada por separado, su integración en un único implante modular con anti‑debugging, disparadores de red y un pipeline de compilación aproxima la herramienta al nivel de un malware operativo, a diferencia de los toscos scripts de proof-of-concept de los repositorios públicos.

El escenario de uso previsto implica que el atacante primero obtenga acceso root al host por otros medios y, después, despliegue PamDOORa para interceptar credenciales y establecer acceso persistente a través de SSH.

Evaluación del impacto

Las organizaciones con mayor riesgo son aquellas que utilizan servidores Linux con autenticación OpenSSH a través de PAM, es decir, la inmensa mayoría de las infraestructuras Linux de servidor. PamDOORa resulta especialmente peligroso para:

  • Servidores con acceso SSH directo desde Internet;
  • Infraestructuras en las que no se ha configurado la monitorización de la integridad de los módulos PAM;
  • Entornos en los que la compromisión de un solo servidor puede conducir a movimientos laterales gracias a las credenciales interceptadas.

Las capacidades antiforenses de la herramienta agravan la situación: la modificación de los registros de autenticación dificulta la detección de la intrusión mediante los métodos habituales de análisis de logs.

Recomendaciones de protección

Dado que PamDOORa requiere obtener previamente acceso root, la protección debe plantearse en varios niveles:

  • Monitorización de la integridad de los módulos PAM: configure el control de cambios de los archivos en los directorios /lib/security/, /lib64/security/ y de los archivos de configuración en /etc/pam.d/ mediante herramientas como AIDE, OSSEC o Tripwire;
  • Auditoría de pam_exec: revise las configuraciones de PAM en busca de llamadas a pam_exec que ejecuten scripts no estándar — el comando grep -r "pam_exec" /etc/pam.d/ ayudará a identificar entradas sospechosas;
  • Control del acceso privilegiado: minimice el número de cuentas con privilegios de root y utilice autenticación multifactor para SSH;
  • Recopilación centralizada de logs: envíe los registros de autenticación a un servidor protegido independiente para neutralizar la modificación local de los logs;
  • Segmentación de red: limite el acceso SSH por direcciones IP y utilice jump hosts para reducir la superficie de ataque;
  • Verificación de hashes: compare periódicamente las sumas de comprobación de las bibliotecas PAM con los valores de referencia de los paquetes del distribuidor — el comando rpm -V pam (para sistemas RPM) o debsums libpam-modules (para Debian/Ubuntu).

Pese a la ausencia de casos confirmados de uso de PamDOORa en ataques reales, el mero hecho de que haya aparecido en el mercado cibercriminal una herramienta comercial de este nivel indica un creciente interés por atacar la pila de autenticación de Linux. La acción prioritaria para los administradores es implantar el control de integridad de los módulos PAM y la recopilación centralizada de logs de autenticicación, si aún no se ha hecho. Estas medidas son eficaces no solo contra PamDOORa, sino también contra cualquier ataque que explote la arquitectura modular de PAM.

Foto del autor

CyberSecureFox Editorial Team

El equipo editorial de CyberSecureFox cubre noticias de ciberseguridad, vulnerabilidades, campañas de malware, actividad de ransomware, AI security, cloud security y security advisories de proveedores. Los materiales se preparan a partir de official advisories, datos de CVE/NVD, alertas de CISA, publicaciones de proveedores e informes públicos de investigadores. Los artículos se revisan antes de su publicación y se actualizan cuando aparece nueva información.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

CyberSecureFox

© 2026 INFO

Sobre el sitio

Sobre CyberSecureFox

Autores

Contacto

Redacción

Estándares editoriales

Correcciones

Legal

Política de privacidad

Términos de servicio