Rootkit baru bernama LinkPro menargetkan sistem GNU/Linux, menggunakan teknologi eBPF untuk menyembunyikan aktivitas berbahaya dan menghindari deteksi. Ditemukan di infrastruktur AWS yang dikompromikan, ia menyebar melalui server Jenkins yang rentan dan gambar Docker berbahaya. Malware ini memberikan akses jarak jauh kepada penyerang sambil menyamar sebagai komponen sistem yang sah.
Rootkit LinkPro muncul sebagai ancaman canggih terhadap sistem GNU/Linux, memanfaatkan modul extended Berkeley Packet Filter (eBPF) untuk menyembunyikan proses, file, dan aktivitas jaringan. Peneliti SynAcktiv menemukannya selama penyelidikan forensik pada pengaturan yang diselenggarakan AWS yang disusupi, di mana ia bertindak sebagai pintu belakang yang mampu diaktifkan secara jarak jauh melalui paket TCP magic tertentu.
Infeksi biasanya dimulai dengan server Jenkins yang terpapar rentan terhadap CVE-2024-23897. Penyerang kemudian menyebarkan gambar Docker berbahaya bernama kvlnt/vv di seluruh kluster Amazon EKS Kubernetes. Gambar ini mencakup proxy VPN, malware pengunduh vGet, dan rootkit LinkPro itu sendiri. Kontainer berjalan dengan hak istimewa root, memberikan akses penuh ke sistem file, memungkinkan pelarian untuk memanen kredensial dari pod lain.
Dikembangkan dalam Golang, LinkPro beroperasi dalam dua mode: mode reverse pasif yang mendengarkan perintah setelah mendeteksi paket TCP SYN dengan ukuran jendela 54321, dan mode forward aktif untuk tautan command-and-control langsung. Kemampuan sembunyinya bergantung pada dua modul eBPF—modul Hide mencegat panggilan sistem seperti getdents dan sys_bpf untuk menyembunyikan file, proses, dan program eBPF, sementara modul Knock menggunakan XDP dan TC untuk manipulasi jaringan, mengarahkan lalu lintas ke port internal 2233 dan menulis ulang header untuk melewati firewall.
Untuk persistensi, LinkPro menyamar sebagai layanan systemd-resolved, membuat file unit palsu di /etc/systemd/system/systemd-resolved.service dan menempatkan binerinya di /usr/lib/.system/.tmp~data.resolved dengan cap waktu yang diubah. Jika dukungan kernel untuk CONFIG_BPF_KPROBE_OVERRIDE tidak ada, ia beralih ke pembajakan linker dinamis melalui /etc/ld.so.preload.
Setelah aktif, ia menawarkan shell interaktif, manajemen file, proxy SOCKS5, dan ekstraksi file yang dikodekan Base64 melalui protokol seperti HTTP, WebSocket, TCP, UDP, dan DNS, semuanya dienkripsi dengan XOR. Organisasi disarankan untuk memantau file systemd yang mencurigakan dan aktivitas eBPF untuk deteksi.