Pumakit es un malware avanzado para Linux que emplea técnicas avanzadas de sigilo y escalamiento de privilegios para operar de forma oculta en sistemas vulnerables. Descubierto por Elastic Security en un archivo llamado ‘cron’, su estructura incluye un dropper, módulos de kernel y espacio de usuario, y ejecutables en memoria. Aunque aún se desconocen sus objetivos, este tipo de malware suele dirigirse a infraestructuras críticas y sistemas empresariales.
Diseñado para kernels de Linux anteriores a la versión 5.7, Pumakit manipula el sistema mediante la función ‘kallsyms_lookup_name()’ y abusa de funciones del kernel para otorgar privilegios y ocultar actividad maliciosa. Su componente Kitsune SO refuerza estas capacidades, interceptando herramientas comunes y gestionando la comunicación con
servidores de comando y control (C2).
EL ATAQUE
El ataque comienza con un dropper llamado ‘cron’ que ejecuta cargas útiles en memoria. Estas manipulan la imagen del kernel para instalar el módulo rootkit (‘puma.ko’), el cual utiliza técnicas avanzadas para escalar privilegios, alterar credenciales y ocultar su presencia. Kitsune SO complementa al rootkit del kernel, interceptando llamadas a nivel de usuario y ocultando archivos y procesos, mientras retransmite comandos e información al C2, asegurando el control completo del sistema comprometido. A continuación, se presentan los Indicadores de Compromiso (IoCs) que pueden ser incorporados en sus sistemas de seguridad.
