Pesquisadores divulgaram detalhes de um novo backdoor para Linux chamado PamDOORa, anunciado no fórum russo de cibercrime Rehub por US$ 1.600 por um invasor identificado como “darkworm”. A ferramenta foi apresentada como um kit de pós-exploração baseado em módulos PAM, com foco em persistência via SSH e roubo de credenciais de usuários legítimos.

O PamDOORa foi projetado para funcionar como um Pluggable Authentication Module, ou PAM, uma estrutura usada em sistemas Unix e Linux para integrar mecanismos de autenticação de forma modular. Na prática, o PAM permite que administradores adicionem ou alterem métodos de autenticação, como senhas, tokens ou biometria, sem reescrever aplicações já existentes.

De acordo com Assaf Morag, pesquisador da Flare.io, o PamDOORa atua como um backdoor pós-exploração para autenticação em servidores via OpenSSH. A ferramenta supostamente mantém persistência em sistemas Linux x86_64 e permite que o invasor acesse o ambiente comprometido por meio de uma combinação específica de senha “mágica” e porta TCP.

Esse tipo de mecanismo cria uma porta de entrada secreta no processo de autenticação. Mesmo que o serviço SSH continue funcionando aparentemente de forma normal para usuários legítimos, o módulo malicioso pode reconhecer uma senha especial e permitir o acesso do invasor, contornando os fluxos tradicionais de autenticação.

Além da persistência, o PamDOORa também foi desenvolvido para capturar credenciais. Quando usuários legítimos se autenticam no sistema comprometido, o módulo pode coletar os dados informados durante o processo de login. Como o PAM participa diretamente da autenticação, um módulo malicioso posicionado nesse fluxo pode ter acesso a informações sensíveis antes que elas sejam validadas ou descartadas pelo sistema.

A ameaça chama atenção porque os módulos PAM normalmente são executados com privilégios elevados, muitas vezes como root. Isso significa que um módulo comprometido, mal configurado ou criado com finalidade maliciosa pode representar um risco significativo, permitindo roubo de credenciais, acesso não autorizado e controle persistente do host.

O PamDOORa é apontado como o segundo backdoor Linux conhecido a mirar diretamente a pilha PAM, após o Plague. Embora o PAM seja uma estrutura poderosa e amplamente utilizada, sua modularidade também amplia a superfície de ataque quando arquivos de configuração ou módulos são manipulados por invasores.

A Group-IB já havia alertado, em setembro de 2024, que modificações maliciosas em módulos PAM podem criar backdoors ou roubar credenciais de usuários. O risco é agravado pelo fato de que o PAM não armazena senhas, mas pode transmitir valores em texto claro durante determinados fluxos de autenticação, dependendo da implementação e do módulo utilizado.

Um dos pontos citados por pesquisadores é o abuso do módulo pam_exec, que permite executar comandos externos durante processos de autenticação. Quando manipulado por invasores, esse recurso pode ser usado para injetar scripts maliciosos em arquivos de configuração do PAM, obter um shell privilegiado e manter persistência de forma discreta no sistema.

No caso do PamDOORa, a análise da Flare.io indica que a ferramenta vai além de backdoors PAM mais simples encontrados em repositórios públicos. Além de roubar credenciais e permitir acesso persistente via SSH, o malware incorpora capacidades antiforenses para adulterar logs de autenticação e apagar rastros da atividade maliciosa.

Essa manipulação de registros é relevante porque logs de autenticação estão entre os principais artefatos usados por equipes de segurança para identificar acessos suspeitos, tentativas de login, uso indevido de contas e movimentações anômalas. Ao alterar metodicamente esses registros, o backdoor pode dificultar investigações e atrasar a resposta a incidentes.

Até o momento, não há evidências de que o PamDOORa tenha sido usado em ataques reais. Ainda assim, a cadeia de infecção mais provável envolveria um invasor obtendo previamente acesso root ao sistema por outro meio, como exploração de vulnerabilidade, credenciais comprometidas ou configuração insegura. Depois disso, o módulo PAM malicioso seria implantado para capturar credenciais e garantir acesso persistente via SSH.

Esse ponto é importante: o PamDOORa não parece ser descrito como uma ferramenta de acesso inicial. Ele se encaixa melhor em uma fase posterior da invasão, quando o invasor já comprometeu o host e busca manter presença, ampliar acesso e coletar credenciais de outros usuários que utilizam o sistema.

A dinâmica comercial da ferramenta também foi observada pelos pesquisadores. O PamDOORa foi inicialmente anunciado por US$ 1.600 em 17 de março de 2026. Em 9 de abril, o preço havia sido reduzido para US$ 900, uma queda de quase 50%. Essa mudança pode indicar baixa demanda entre compradores ou uma tentativa do operador “darkworm” de acelerar a venda.

Para Morag, o PamDOORa representa uma evolução em relação aos backdoors PAM open source existentes. Embora técnicas como hooks em PAM, captura de credenciais e adulteração de logs já sejam conhecidas, a integração desses recursos em um implante modular, com mecanismos anti-debugging, gatilhos baseados em rede e pipeline de builder, aproxima a ferramenta de um nível mais operacional.

Esse tipo de desenvolvimento mostra como recursos tradicionalmente associados a provas de conceito podem ser reorganizados em ferramentas mais completas para uso por operadores de intrusão. Em vez de scripts isolados e rudimentares, o PamDOORa aparece como um pacote mais coeso, voltado para persistência, furtividade e coleta de credenciais em ambientes Linux.

Para equipes de segurança, a descoberta reforça a necessidade de monitorar alterações em módulos e arquivos de configuração do PAM, especialmente em servidores expostos ou críticos. Mudanças inesperadas em diretórios como /etc/pam.d/, presença de módulos desconhecidos, alterações em fluxos de autenticação SSH e inconsistências em logs devem ser tratadas como sinais relevantes de possível comprometimento.

Também é importante revisar permissões, integridade de arquivos sensíveis, histórico de autenticação, uso de contas privilegiadas e eventos relacionados ao OpenSSH. Em ambientes corporativos, controles como gestão rigorosa de acesso administrativo, hardening de servidores Linux, auditoria de integridade e monitoramento centralizado de logs podem ajudar a reduzir o impacto de backdoors desse tipo.