Investigadores de ciberseguridad han revelado detalles de una nueva backdoor de Linux llamada **PamDOORa** que se anuncia en el foro ruso de cibercrimen Rehub por $1,600 por parte de un actor de amenazas llamado "darkworm".  La backdoor está diseñada como un kit de herramientas de post-explotación basado en Pluggable Authentication Module (PAM) que permite el acceso persistente a SSH mediante una contraseña mágica y una combinación específica de puertos TCP. También es capaz de robar credenciales de todos los usuarios legítimos que se autentican a través del sistema comprometido. "La herramienta, llamada PamDOORa, es una nueva backdoor basada en PAM, diseñada para servir como una backdoor de post-explotación, permitiendo la autenticación a servidores a través de OpenSSH", dijo **Assaf Morag**, investigador de **Flare.io** [en un informe técnico](https://flare.io/learn/resources/blog/pamdoora-new-linux-pam-based-backdoor-sale-dark-web). "Supuestamente, esto permanecería persistente en sistemas Linux (x86_64)". ### PAM: Un objetivo principal para backdoors PamDOORa es la segunda backdoor de Linux que apunta a la pila PAM después de **Plague**. PAM es un marco de seguridad en sistemas operativos Unix/Linux que otorga a los administradores del sistema la capacidad de incorporar múltiples mecanismos de autenticación o actualizarlos (por ejemplo, cambiar de contraseñas a biometría) en un sistema existente mediante el uso de módulos conectables sin necesidad de reescribir aplicaciones existentes. Debido a que los módulos PAM típicamente se ejecutan con privilegios de root, un módulo comprometido, mal configurado o malicioso puede introducir riesgos de seguridad significativos y abrir la puerta al robo de credenciales y al acceso no autorizado. "A pesar de sus fortalezas, la modularidad del Pluggable Authentication Module (PAM) introduce riesgos, ya que las modificaciones maliciosas en los módulos PAM pueden crear backdoors o robar credenciales de usuario, especialmente dado que PAM no almacena contraseñas sino que transmite valores en texto plano", señaló **Group-IB** [en septiembre de 2024](https://www.group-ib.com/blog/pluggable-authentication-module/). "El módulo pam_exec, que permite la ejecución de comandos externos, puede ser explotado por atacantes para obtener acceso no autorizado o establecer control persistente inyectando scripts maliciosos en archivos de configuración de PAM".  El proveedor de seguridad de Singapur también detalló cómo es posible manipular la configuración de PAM para la autenticación SSH para ejecutar un script a través de pam_exec, permitiendo efectivamente a un actor malintencionado obtener un shell privilegiado en un host y facilitar la persistencia sigilosa. ### Capacidades Anti-forenses de PamDOORa Los hallazgos más recientes de Flare.io muestran que PamDOORa, además de permitir el robo de credenciales, incorpora capacidades anti-forenses para manipular metódicamente los registros de autenticación y borrar rastros de actividad maliciosa. Aunque no hay evidencia de que el malware se haya utilizado en ataques del mundo real, las cadenas de infección que distribuyen el malware probablemente impliquen que el adversario primero obtenga acceso root al host por otros medios y despliegue el módulo PAM PamDOORa para capturar credenciales y establecer acceso persistente a través de SSH. Después de un precio inicial de $1,600 el 17 de marzo de 2026, la persona "darkworm" lo ha reducido en casi un 50% a $900 a partir del 9 de abril, lo que indica una falta de interés por parte de los compradores o la intención de acelerar una venta.  "PamDOORa representa una evolución sobre las backdoors PAM de código abierto existentes", explicó Morag. "Si bien las técnicas individuales (hooks de PAM, captura de credenciales, manipulación de registros) están bien documentadas, la integración en un implante cohesivo y modular con anti-debugging, disparadores conscientes de la red y un pipeline de constructor lo acerca más a herramientas de nivel operativo que a los scripts burdos de prueba de concepto que se encuentran en la mayoría de los repositorios públicos".