Los investigadores de Solar 4RAYS han descubierto una nueva amenaza de ciberseguridad de alta complejidad: el rootkit Puma, una herramienta maliciosa desarrollada por el grupo hacktivista Shedding Zmiy. Este sofisticado malware destaca por su capacidad excepcional para evadir la detección en sistemas Linux, representando un desafío significativo para la seguridad empresarial.
Cronología y Metodología del Ataque
La investigación reveló una intrusión prolongada que se extendió durante aproximadamente 18 meses en una importante empresa tecnológica. El vector inicial de ataque se identificó como una vulnerabilidad en una instalación pública de Bitrix en agosto de 2023. La fase crítica de la campaña se activó en noviembre de 2023, cuando se detectaron conexiones SSH sospechosas utilizando credenciales privilegiadas.
Análisis Técnico del Rootkit Puma
Puma se implementa como un módulo del kernel Linux programado en C, operando en conjunto con el componente Pumatsune para el control remoto del sistema comprometido. Sus capacidades principales incluyen el ocultamiento de procesos maliciosos, la interceptación de llamadas al sistema y la exfiltración de información sensible. Esta arquitectura modular permite a los atacantes mantener una presencia persistente y sigilosa en los sistemas afectados.
Arsenal de Herramientas Complementarias
El grupo utiliza un conjunto diverso de herramientas maliciosas, incluyendo el rootkit Megatsune y diferentes versiones del Bulldog Backdoor. La sofisticación del ataque se evidencia en su capacidad para manipular procesos legítimos del sistema y ocultar conexiones de red maliciosas, dificultando significativamente su detección por herramientas de seguridad convencionales.
Impacto y Alcance de las Operaciones
La amenaza que representa Shedding Zmiy se magnifica por su adaptabilidad táctica. Los datos de Solar 4RAYS indican que el grupo es responsable del 34% de los incidentes investigados en 2024. Sus operaciones varían desde el espionaje cibernético prolongado hasta ataques destructivos que pueden resultar en el cifrado o destrucción completa de la infraestructura objetivo.
La detección del rootkit Puma marca un punto de inflexión en la evolución de las amenazas cibernéticas. Se recomienda a las organizaciones implementar medidas de seguridad robustas, incluyendo la monitorización continua de sistemas, actualizaciones regulares de mecanismos de defensa y auditorías frecuentes de actividad de red. La sofisticación de estas amenazas requiere un enfoque proactivo en la seguridad, combinando tecnologías avanzadas de detección con prácticas sólidas de gestión de vulnerabilidades.
