Các nhà nghiên cứu bảo mật đến từ công ty an ninh mạng Nextron Systems (Đức) cho biết, Plague là một mô-đun PAM (Pluggable Authentication Module) độc hại sử dụng các kỹ thuật obfuscation layer và can thiệp vào môi trường nhằm tránh bị các công cụ bảo mật truyền thống phát hiện.

Phần mềm độc hại này có tính năng chống gỡ lỗi để ngăn chặn các nỗ lực phân tích, kỹ thuật dịch ngược và obfuscation để khó phát hiện hơn. Theo các nhà nghiên cứu, mật khẩu được mã hóa cứng để truy cập bí mật cũng như khả năng ẩn các tiến trình lạ của phiên thường tiết lộ hoạt động của kẻ tấn công trên các thiết bị bị nhiễm.

Sau khi thực thi, Plague xóa mọi dấu vết hoạt động độc hại khỏi môi trường runtime, bằng cách hủy cài đặt các biến môi trường liên quan đến SSH. Ngoài ra, nó cũng chuyển hướng lịch các câu lệnh đến /dev/null để ngăn chặn việc ghi log, loại bỏ dấu vết metadata đăng nhập và hành vi của kẻ tấn công khỏi log lịch sử hệ thống và các phiên tương tác.

Nhà nghiên cứu Pierre-Henri Pezier cho biết: “Plague tích hợp sâu vào ngăn xếp xác thực, tồn tại qua các bản cập nhật hệ thống và hầu như không để lại dấu vết kỹ thuật số. Kết hợp với kỹ thuật obfuscation layer và can thiệp vào môi trường, điều này khiến việc phát hiện bằng các công cụ truyền thống trở nên cực kỳ khó khăn”, nhà nghiên cứu Pierre-Henri Pezier cho biết.

Ông Pezier chia sẻ thêm, phần mềm độc hại có khả năng xóa thông tin về phiên SSH. Các biến môi trường như SSH_CONNECTION và SSH_CLIENT hủy cài đặt bằng unsetenv, trong khi HISTFILE được chuyển hướng đến /dev/null để ngăn chặn việc ghi log lệnh shell.

Trong khi phân tích phần mềm độc hại, các nhà nghiên cứu nhận định quá trình phát triển phần mềm độc hại này trong một thời gian dài, với các mẫu được biên dịch bằng nhiều phiên bản GCC trên các bản phân phối Linux khác nhau.

Ngoài ra, mặc dù nhiều biến thể của Plague đã được tải lên VirusTotal trong năm qua, nhưng không có công cụ diệt vi-rút nào đánh dấu chúng là độc hại, điều này cho thấy những kẻ tạo ra phần mềm độc hại này đã hoạt động mà không bị phát hiện. “Backdoor Plague là một mối đe dọa tinh vi và đang phát triển đối với cơ sở hạ tầng Linux, khai thác các cơ chế xác thực quan trọng để duy trì tính ẩn danh và tính dai dẳng”, Pezier đánh giá.

Trước đó vào tháng 5/2025, Nextron Systems đã phát hiện ra một phần mềm độc hại khác khai thác tính linh hoạt của cơ sở hạ tầng xác thực PAM của Linux, cho phép kẻ tấn công đánh cắp thông tin đăng nhập, bypass xác thực và duy trì hoạt động ẩn trên các thiết bị bị xâm phạm.