Un nuevo rootkit llamado LinkPro ha estado dirigiendo sistemas GNU/Linux, utilizando la tecnología eBPF para ocultar actividades maliciosas y evadir la detección. Descubierto en una infraestructura AWS comprometida, se propaga a través de servidores Jenkins vulnerables e imágenes Docker maliciosas. El malware proporciona a los atacantes acceso remoto mientras se hace pasar por componentes legítimos del sistema.
El rootkit LinkPro surgió como una amenaza sofisticada para sistemas GNU/Linux, aprovechando módulos de filtro de paquetes extendido de Berkeley (eBPF) para ocultar procesos, archivos y actividades de red. Investigadores de SynAcktiv lo descubrieron durante una investigación forense de una configuración alojada en AWS violada, donde actuaba como una puerta trasera capaz de activación remota a través de paquetes TCP mágicos específicos.
La infección típicamente comienza con un servidor Jenkins expuesto vulnerable a CVE-2024-23897. Los atacantes luego despliegan una imagen Docker maliciosa llamada kvlnt/vv en clústeres de Amazon EKS Kubernetes. Esta imagen incluye un proxy VPN, el malware descargador vGet y el propio rootkit LinkPro. El contenedor se ejecuta con privilegios de root, otorgando acceso completo al sistema de archivos, lo que permite escapes para cosechar credenciales de otros pods.
Desarrollado en Golang, LinkPro opera en dos modos: un modo reverso pasivo que escucha comandos después de detectar un paquete TCP SYN con un tamaño de ventana de 54321, y un modo forward activo para enlaces directos de comando y control. Su sigilo se basa en dos módulos eBPF: el módulo Hide intercepta llamadas al sistema como getdents y sys_bpf para ocultar archivos, procesos y programas eBPF, mientras que el módulo Knock utiliza XDP y TC para la manipulación de red, redirigiendo el tráfico a un puerto interno 2233 y reescribiendo encabezados para evadir firewalls.
Para la persistencia, LinkPro se hace pasar por el servicio systemd-resolved, creando un archivo de unidad falso en /etc/systemd/system/systemd-resolved.service y colocando su binario en /usr/lib/.system/.tmp~data.resolved con marcas de tiempo alteradas. Si no hay soporte del kernel para CONFIG_BPF_KPROBE_OVERRIDE, recurre a secuestrar el enlazador dinámico a través de /etc/ld.so.preload.
Una vez activo, ofrece shells interactivos, gestión de archivos, proxy SOCKS5 y exfiltración de archivos codificados en Base64 a través de protocolos como HTTP, WebSocket, TCP, UDP y DNS, todo encriptado con XOR. Se aconseja a las organizaciones monitorear archivos systemd sospechosos y actividad eBPF para la detección.