Des chercheurs en cybersécurité ont révélé les détails d'une nouvelle backdoor Linux nommée **PamDOORa**, qui est annoncée sur le forum de cybercriminalité russe Rehub pour 1 600 $ par un acteur de la menace appelé "darkworm".  La backdoor est conçue comme une boîte à outils post-exploitation basée sur le module d'authentification enfichable (PAM), permettant un accès SSH persistant grâce à un mot de passe magique et une combinaison de ports TCP spécifiques. Elle est également capable de voler les identifiants de tous les utilisateurs légitimes qui s'authentifient via le système compromis. "L'outil, appelé PamDOORa, est une nouvelle backdoor basée sur PAM, conçue pour servir de backdoor post-exploitation, permettant l'authentification aux serveurs via OpenSSH", a déclaré Assaf Morag, chercheur chez **Flare.io** [dans un rapport technique](https://flare.io/learn/resources/blog/pamdoora-new-linux-pam-based-backdoor-sale-dark-web). "Il est présumé qu'il resterait persistant sur les systèmes Linux (x86_64)." ### PAM : une cible de choix pour les backdoors PamDOORa est la deuxième backdoor Linux ciblant la pile PAM après **Plague**. PAM est un framework de sécurité dans les systèmes d'exploitation Unix/Linux qui permet aux administrateurs système d'intégrer plusieurs mécanismes d'authentification ou de les mettre à jour (par exemple, passer des mots de passe à la biométrie) dans un système existant grâce à l'utilisation de modules enfichables, sans avoir à réécrire les applications existantes. Étant donné que les modules PAM s'exécutent généralement avec des privilèges root, un module compromis, mal configuré ou malveillant peut introduire des risques de sécurité importants et ouvrir la porte au vol d'identifiants et à un accès non autorisé. "Malgré ses forces, la modularité du module d'authentification enfichable (PAM) introduit des risques, car des modifications malveillantes des modules PAM peuvent créer des backdoors ou voler les identifiants des utilisateurs, d'autant plus que PAM ne stocke pas les mots de passe mais transmet les valeurs en clair", a noté **Group-IB** [en septembre 2024](https://www.group-ib.com/blog/pluggable-authentication-module/). "Le module pam_exec, qui permet l'exécution de commandes externes, peut être exploité par les attaquants pour obtenir un accès non autorisé ou établir un contrôle persistant en injectant des scripts malveillants dans les fichiers de configuration PAM."  Le fournisseur de sécurité singapourien a également détaillé comment il est possible de manipuler la configuration PAM pour l'authentification SSH afin d'exécuter un script via pam_exec, permettant ainsi à un acteur malveillant d'obtenir un shell privilégié sur un hôte et de faciliter une persistance furtive. ### Capacités anti-forensiques de PamDOORa Les dernières découvertes de Flare.io montrent que PamDOORa, en plus de permettre le vol d'identifiants, intègre des capacités anti-forensiques pour manipuler méthodiquement les journaux d'authentification afin d'effacer les traces d'activité malveillante. Bien qu'il n'y ait aucune preuve que le malware ait été utilisé dans des attaques réelles, les chaînes d'infection distribuant le malware impliquent probablement que l'adversaire obtienne d'abord un accès root à l'hôte par d'autres moyens et déploie le module PAM PamDOORa pour capturer les identifiants et établir un accès persistant via SSH. Après un prix initial de 1 600 $ le 17 mars 2026, la persona "darkworm" l'a depuis réduit de près de 50 % à 900 $ le 9 avril, indiquant soit un manque d'intérêt des acheteurs, soit une intention d'accélérer une vente.  "PamDOORa représente une évolution par rapport aux backdoors PAM open-source existantes", a expliqué Morag. "Bien que les techniques individuelles (hooks PAM, capture d'identifiants, manipulation des journaux) soient bien documentées, leur intégration dans un implant cohérent et modulaire avec des déclencheurs anti-débogage, conscients du réseau et un pipeline de construction le rapproche davantage des outils de niveau opérateur que des scripts bruts de preuve de concept trouvés dans la plupart des dépôts publics."