Rootkit LinkPro usa eBPF para ocultarse y se activa con paquetes TCP mágicos

El rootkit LinkPro, detectado por la firma Synacktiv, representa una amenaza avanzada para sistemas Linux que utiliza la tecnología eBPF (Extended Berkeley Packet Filter) para ocultar su presencia en el kernel. Este método permite operar con alta furtividad al ejecutarse dentro del kernel y manipular paquetes de red en tiempo real. LinkPro se activa mediante la recepción de paquetes TCP especiales, denominados “paquetes mágicos”, que cumplen criterios específicos, como ser SYN con tamaño de ventana 54321. Al detectar un paquete así, el rootkit cambia su estado para permitir comunicaciones privilegiadas solo con las IPs autorizadas. Para proteger la comunicación oculta, utiliza mecanismos de filtrado y modificación de paquetes en diferentes niveles usando programas eBPF conectados al tráfico de entrada (XDP) y salida (Traffic Control). Este rootkit también manipula el checksum de los paquetes para evitar detección y puede ocultarse en la memoria del sistema sin dejar archivos evidentes, dificultando su eliminación y análisis forense. La presencia de LinkPro en sistemas Linux representa un gran riesgo para infraestructuras críticas y entornos en la nube, donde el control oculto del tráfico puede facilitar robo de datos y movimientos laterales. Se recomienda a los administradores fortalecer controles kernel, monitorear comportamientos anómalos en el tráfico de red, mantener sistemas actualizados y restringir uso de eBPF a procesos confiables para mitigar estas amenazas sofisticadas