LINKPRO: EL ROOTKIT PARA LINUX QUE UTILIZA EBPF Y "PAQUETES MÁGICOS" PARA DOMINAR CLÚSTERES DE KUBERNETES

Fecha: 3 de marzo de 2026



Nivel de Impacto: Crítico



Una investigación de Synacktiv en infraestructuras de AWS ha revelado LinkPro, un sofisticado rootkit escrito en Go diseñado para entornos GNU/Linux. LinkPro destaca por su capacidad de sigilo extremo, utilizando módulos eBPF para ocultar procesos y una técnica de activación remota basada en un "paquete TCP mágico" que le permite evadir firewalls front-end y sistemas de monitoreo tradicionales.

Cadena de Infección: De Jenkins a Kubernetes

El ataque no comienza con el rootkit, sino con la explotación de una vulnerabilidad conocida en la cadena de suministro de desarrollo:

  1. Punto de entrada: Explotación de CVE-2024-23897 en servidores Jenkins (CVSS 9.8).
  2. Despliegue: Infiltración en clústeres de Kubernetes mediante una imagen maliciosa en Docker Hub (kvlnt/vv).
  3. Cargas útiles: Instalación de un servidor VPN (vnt), un descargador en Rust (vGet) y, finalmente, el rootkit LinkPro.

Análisis Técnico: El poder de eBPF y el Paquete Mágico

LinkPro utiliza la tecnología eBPF (Extended Berkeley Packet Filter) para manipular el tráfico y la visibilidad del sistema operativo desde el propio kernel:

1. Ocultamiento (Módulo "Hide")

Utiliza programas de tipo Tracepoint y Kretprobe para interceptar llamadas al sistema. Si un administrador ejecuta ls, ps o netstat, el rootkit modifica los resultados en tiempo real para eliminar cualquier rastro de sus archivos, procesos o conexiones de red.

  • Plan B: Si eBPF falla, utiliza la técnica clásica de secuestro mediante /etc/ld.so.preload.

2. Activación por Paquete Mágico (Módulo "Knock")

Para evitar mantener un puerto abierto que sea detectable por un escáner de red, LinkPro permanece en modo pasivo hasta que recibe un "paquete mágico":

  • Firma del paquete: Un paquete TCP con un tamaño de ventana específico de 54321.
  • Efecto: Al recibirlo, el módulo abre una ventana de una hora permitiendo comandos desde la IP de origen.
  • Manipulación de puertos: LinkPro redirige dinámicamente el tráfico de cualquier puerto autorizado en el firewall hacia su propio puerto de escucha (2333), haciendo que la actividad maliciosa sea indistinguible del tráfico legítimo en los registros (logs).

Capacidades del Rootkit

Una vez activado, el atacante tiene control total mediante comandos C2 que incluyen:

  • Ejecución de una pseudo-terminal (/bin/bash).
  • Manipulación y descarga de archivos.
  • Persistencia mediante servicios de systemd.
  • Auto-limpieza: Ante señales de interrupción (SIGHUP, SIGTERM), el malware desinstala sus módulos eBPF y restaura los archivos del sistema para no dejar evidencia forense.

Indicadores de Compromiso (IoCs)

  • IP C2: 56.155.98.37
  • Dominio C2: vnt.wherewego[.]top
  • Puerto de escucha interno: 2333
  • Archivo sospechoso: /etc/libld.so y entradas en /etc/ld.so.preload.

Referencias:


CVE-2024-23897 (Jenkins).

Estadísticas de Incidentes

Enero 2026

VER TODAS

Boletines de Seguridad
Crítico
LINKPRO: EL ROOTKIT PARA LINUX QUE UTILIZA EBPF Y "PAQUETES MÁGICOS" PARA DOMINAR CLÚSTERES DE KUBERNETES

Una investigación de Synacktiv en infraestructuras de AWS ha revelado LinkPro, un sofisticado rootkit escrito en Go diseñado para entornos GNU/Linux. LinkPro destaca por su capacidad de sigilo extremo

Crítico
AMENAZA EN LA OFICINA: FALLO CRÍTICO DE RCE EN IMPRESORAS CANON IMAGECLASS E I-SENSYS (CVE-2025-14237)

Se ha identificado una vulnerabilidad crítica de desbordamiento de búfer en una amplia gama de impresoras multifunción y láser de Canon. El fallo, catalogado como CVE-2025-14237, permite a un atacante dentro del mismo segmento de red ejecutar código

VER TODOS