PamDOORa : La nouvelle porte dérobée Linux qui vole vos identifiants SSH via les modules PAM

Lysandre Beauchêne

L’affaire qui inquiète les administrateurs systèmes : une backdoor PAM à 900 dollars sur le dark web

Les équipes de sécurité de Flare.io ont mis au jour en mai 2026 une menace sophistiquée ciblant les systèmes Linux. Nommée PamDOORa, cette porte dérobée exploite le framework PAM (Pluggable Authentication Module) pour collecter les identifiants SSH de tous les utilisateurs légitime d’un serveur compromis.

Vendue initialement 1 600 dollars sur le forum cybercrime russe Rehub par un acteur nommé « darkworm », son prix a chuté à 900 dollars en l’espace de quelques semaines, signalant peut-être un manque d’intérêt des acheteurs ou une volonté d’accélérer les ventes. UnSignal qui doit alerter les équipes IT des entreprises françaises.

Si les techniques de compromission PAM sont documentées depuis des années, l’intégration de PamDOORa dans un implant modulaire, disposant de capacités anti-débogage, de déclencheurs réseau intelligents et d’une chaîne de construction automatisée en fait un outil de niveau opérateur - bien loin des preuves de concept rustiques que l’on trouve habituellement sur les dépôts publics.

Comprendre PamDOORa : architecture et mode opératoire

Le framework PAM au cœur du système d’authentification Linux

Le Pluggable Authentication Module (PAM) constitue l’épine dorsale de l’authentification sur les systèmes Linux et Unix. Ce framework modulaire permet aux administrateurs système d’intégrer ou de modifier les mécanismes d’authentification - du mot de passe classique aux solutions biométriques - sans réécrire les applications existantes.

Cette flexibilité représente à la fois sa force et sa vulnérabilité. Les modules PAM s’exécutent avec les privilèges root, ce qui signifie qu’un module compromis ou malveillant dispose d’un accès quasi illimité au système. C’est précisément sur ce terrain que PamDOORa a construit son arsenal.

Mécanisme d’accès persistant par mot de passe magique

Une fois déployée sur un système compromis, PamDOORa se présente sous la forme d’un module PAM malveillant capable de fonctionner aux côtés des mécanismes légitimes d’authentification. Le backdoor permet à l’attaquant de maintenir un accès SSH persistant grâce à une combinaison spécifique : un mot de passe magique associé à un port TCP dédié.

Cette approche présente plusieurs avantages stratégiques pour l’adversaire :

  • Discrétion : l’authentification semble légitime puisque le module PAM intercepte réellement les requêtes
  • Persistance : le module survit aux redémarrages tant qu’il reste chargé dans la configuration PAM
  • Élévation de privilèges implicite : en s’exécutant au niveau PAM, le code malveillant dispose naturellement des droits root

« PamDOORa est conçu pour servir de porte dérobée post-exploitation, permettant l’authentification aux serveurs via OpenSSH. Supposément, cela resterait persistant sur les systèmes Linux (x86_64). » - Assaf Morag, chercheur chez Flare.io

Collecte massive d’identifiants utilisateurs

Au-delà de son propre accès, PamDOORa dispose d’une capacité particulièrement destructrice : la collecte d’identifiants de tous les utilisateurs légitimes qui s’authentifient sur le système compromis.

Chaque tentative d’authentification - qu’elle émane d’un administrateur, d’un développeur ou d’un service automatisé - transite par le module PAM corrompu. Ce dernier intercepte les valeurs transmises en clair (PAM ne stocke pas les mots de passe mais transmet les valeurs en plaintext) et les archive pour exploitation ultérieure.

Cette collecte systématique transforme le serveur compromis en point de collecte centralisé pour toute l’infrastructure aval. Les identifiants SSH volés peuvent ensuite servir à des mouvements latéraux, à l’exfiltration de données ou à l’installation de charges secondaires.

Les vulnérabilités intrinsèques du framework PAM exploitées par PamDOORa

Le danger du module pam_exec et de l’exécution externe

Le module pam_exec fait partie des composants PAM standard sous Linux. Il permet l’exécution de commandes externes lors du processus d’authentification - une fonctionnalité initialement prévue pour des cas légitimes comme la vérification de la date d’expiration d’un mot de passe via un script personnalisé.

Cependant, les chercheurs de Group-IB ont documenté dès septembre 2024 comment ce module peut être exploité pour obtenir un shell privilégié et établir une persistance furtive. La manipulation de la configuration PAM pour l’authentification SSH peut déclencher l’exécution de scripts arbitraires via pam_exec, offrant à l’attaquant un accès root sans générer d’alertes dans les systèmes de détection traditionnels.

PamDOORa exploite probablement ce vecteur ou une variante similaire pour s’implanter dans le cycle d’authentification du système cible.

Pourquoi les modules PAM constituent un risque sous-estimé

Dans la plupart des architectures de sécurité, les équipes se concentrent sur les pare-feu, les systèmes de détection d’intrusion réseau et le durcissement des applications. La configuration PAM reste souvent dans l’ombre, vérifiée au moment du déploiement initial puis oubliée.

Or, les statistiques de compromission montrent que les attaquants passent de plus en plus par les couches d’authentification pour maintenir leur présence dans les systèmes. Un module PAM modifié ne génère pas de trafic réseau suspect et ne modifie pas les fichiers systèmes attendue - il se contente de traiter les mêmes requêtes que le module légitime, en ajoutant une couche invisible de collecte.

Tableau comparatif : vecteurs PAM vs vecteurs réseau

CritèreAttaque via module PAMAttaque via vecteur réseau
Détection par antivirusTrès difficileModérée
Persistance après redémarrageÉlevée (si chargé au boot)Faible sans rootkit
Impact sur les logs réseauAucunVisible
Élévation de privilègesAutomatique (root)Nécessite exploits supplémentaires
Surface de détection EDRLimitéeÉlevée

Ce tableau illustre pourquoi les backdoors de type PamDOORa représentent une menace particulièrement pernicieuse pour les environnements Linux servers où les solutions EDR traditionnelles peinent à surveiller les interactions au niveau PAM.

darkworm et la ECONOMIE du cybercrime-as-a-service sur Rehub

Profil de l’acteur et stratégie de vente

L’opérateur « darkworm » a fait son apparition sur le marché cybercrime avec PamDOORa, utilisant la plateforme Rehub - l’un des forums russophones les plus actifs pour le commerce d’outils d’accès, de malware et de services de hacking.

La stratégie de tarification révèle une approche calculée :

  1. Prix initial de 1 600 dollars (mars 2026) pour positionner l’outil comme solution premium
  2. Réduction à 900 dollars (avril 2026), soit une baisse de près de 43%, signalant soit un désintérêt du marché, soit une volonté d’accélérer les ventes avant une meilleure opportunité

Cette volatilité des prix est caractéristique des marketplaces cybercrime où les opérateurs ajustent leur stratégie en fonction de la demande et de la concurrence. Un tarif abaissé de moitié en quelques semaines suggère que darkworm cherche à dégager des revenus immédiats ou à constituer une base d’utilisateurs pour des versions futures améliorées.

PamDOORa : un produit plutôt qu’un prototype

L’analyse technique de Flare.io révèle que PamDOORa ne ressemble pas aux scripts de preuve de concept que l’on retrouve fréquemment sur GitHub ou dans les forums spécialisés. L’intégration de fonctionnalités avancées place cet outil dans une catégorie supérieure :

  • Anti-débogage : mesures empêchant l’analyse dynamique en environnement contrôlé
  • Déclencheurs network-aware : comportements qui s’activent uniquement sous certaines conditions réseau (adresse IP source, port spécifique)
  • Pipeline de construction : chaîne de production permettant de générer des variants personnalisés
  • Architecture modulaire : capacité à étendre les fonctionnalités sans重构 du code de base

« PamDOORa représente une évolution par rapport aux backdoors PAM open-source existantes. Bien que les techniques individuelles (hooks PAM, capture d’identifiants, manipulation des logs) soient bien documentées, l’intégration dans un implant modulaire cohérent avec anti-débogage, déclencheurs réseau et pipeline de construction le place plus près de l’outillage de niveau opérateur que des scripts preuves de concept bruts trouvés dans la plupart des dépôts publics. » - Assaf Morag

Capacités anti-forensiques : l’effacement des traces comme priorités

Manipulation des journaux d’authentification

L’une des caractéristiques les plus préoccupantes de PamDOORa réside dans ses capacités anti-forensiques avancées. Au-delà de la simple capture d’identifiants, le backdoor effectue une manipulation méthodique des journaux d’authentification pour effacer les traces de son activité.

Sur un système Linux, les événements d’authentification sont consignés dans plusieurs fichiers :

  • /var/log/auth.log ou /var/log/secure pour les tentatives SSH
  • journalctl pour les systèmes utilisant systemd
  • Les logs des services applicatifs concernés

PamDOORa est conçu pour intervenir sur ces journaux, supprimant ou modifiant les entrées correspondant aux connexions de l’attaquant. Cette capacité transforme un serveur compromis en zone franche où l’activité malveillante ne laisse pas de traces exploitables lors d’une investigation post-incident.

Conséquences pour les équipes d’investigation numérique

Pour les équipes SOC (Security Operations Center) et les experts en réponse à incident, cette capacité change la donne. Les méthodologies classiques de forensic qui s’appuient sur les journaux d’authentification deviennent partiellement obsolètes face à un ennemi disposant de PamDOORa ou d’outils similaires.

Les investigations doivent désormais intégrer :

  • L’analyse des métadonnées fichiers (timestamps, inode) pour détecter des modifications suspectes
  • La comparaison avec des baselines d’activité légitime
  • L’examen des logs réseau en complément des logs système
  • L’utilisation d’EDR capables de monitorer les appels système au niveau kernel

Comparaison avec les autres backdoors PAM : PamDOORa face à Plague

Plague : le précurseur

PamDOORa n’est pas la première menace à exploiter le framework PAM sous Linux. Plague, découvert au cours de l’année précédente, représentait déjà une évolution significative dans les techniques de persistence sur systèmes Linux. Plague utilisait également des hooks PAM pour intercepter les authentifications mais avec des différences d’implémentation notables.

Différences architecturales

Selon Assaf Morag, les « petites différences de conception » entre PamDOORa et Plague suggèrent que les deux outils ne partagent pas une base de code commune. Cependant, les chercheurs précisent qu’une comparaison binaire complète serait nécessaire pour exclure définitivement tout overlap.

Les points de divergence identifiés incluent :

  • La gestion des triggers réseau (conditions d’activation)
  • L’implémentation des mécanismes anti-débogage
  • La structure du pipeline de construction
  • Les techniques spécifiques de manipulation des logs

Implications pour la détection

Cette diversification des outils PAM backdoor signifie que les solutions de sécurité doivent évoluer au-delà de la détection par signature. La détection comportementale, l’analyse des anomalies d’authentification et le monitoring de l’intégrité des fichiers de configuration PAM deviennent essentiels.

Chaîne d’infection probable et vecteurs de déploiement

Scénario d’attaque conventionnel

Bien qu’aucune infection réelle n’ait été documentée à ce jour, l’analyse technique permet de reconstituer la chaîne d’infection probable de PamDOORa :

  1. Accès initial : L’attaquant obtains d’abord un accès root au système cible par un autre moyen (exploitation de vulnérabilité, phishing ciblé, compromise de credentials via une autre fuite)
  2. Déploiement du module : Installation du module PAM malveillant dans le répertoire système approprié
  3. Modification de la configuration : Ajout du module à la pile PAM d’OpenSSH ou du service d’authentification concerné
  4. Validation : Test de l’accès via mot de passe magique et port TCP dédié
  5. Collecte passive : Capture des identifiants de tous les utilisateurs légitimes

Pourquoi l’accès initial reste critique

PamDOORa ne constitue pas un vecteur d’accès initial mais plutôt un outil de persistence et d’exfiltration post-compromission. L’attaquant doit d’abord obtenir un accès root par d’autres moyens, ce qui maintient l’importance des mesures de sécurité traditionnelles :

  • Mise à jour régulière des systèmes et des services exposés
  • Gestion rigoureuse des clés SSH et des mots de passe
  • Déploiement de solutions MFA pour l’accès administrateur
  • Monitoring des comportements de connexion anormaux

Recommandations de protection pour les organisations françaises

Audit de la configuration PAM

La première mesure consiste à cartographier l’état actuel de la configuration PAM sur tous les serveurs Linux de l’infrastructure. L’objectif est d’établir une baseline permettant de détecter toute modification ultérieure.

Utilisez les commandes suivantes pour auditer votre configuration :

# Lister les modules PAM chargés pour SSH
pam_extrausers_check sshd

# Vérifier l'intégrité des fichiers de configuration PAM
rpm -Va | grep pam
debsums pam

# Surveiller les modifications de configuration PAM via auditd
auditctl -w /etc/pam.d/ -p wa -k pam_config

Mise en place d’un monitoring d’intégrité

Déployez des solutions de File Integrity Monitoring (FIM) sur les répertoires critiques :

  • /etc/pam.d/ - fichiers de configuration des modules
  • /lib/security/ ou /lib64/security/ - modules PAM compilés
  • /usr/sbin/pam_* - exécutables liés à PAM

Tout changement non autorisé sur ces fichiers doit déclencher une alerte immédiate vers le SOC.

Durcissement de l’authentification SSH

Pour réduire la surface d’exposition aux techniques utilisées par PamDOORa :

  1. Désactiver l’authentification par mot de passe au profit de clés SSH uniquement
  2. Limiter les connexions root via la directive PermitRootLogin no
  3. Restreindre les sources d’authentification via AllowUsers et AllowGroups
  4. Implémenter le MFA pour tout accès SSH privilégié (pam_google_authenticator ou solutions équivalent)
  5. Surveiller les connexions sur les ports non standard comme indicateur de compromission possible

Déploiement de solutions EDR adaptées aux serveurs Linux

Les solutions de détection et réponse sur endpoint (EDR/XDR) ont longtemps été conçues principalement pour les environnements Windows. Pour les serveurs Linux, privilégiez :

  • CrowdStrike Falcon : surveillance des appels système et détection comportementale
  • SentinelOne : capacités d’isolement et de remediation sur Linux
  • Trellix HX : détection des mutations de malware Linux
  • Solutions open-source comme Wazuh ou Osquery pour les environnements à budget contraint

Plan de réponse à incident pour compromission PAM

Préparez une procédure de réponse spécifique pour les cas de compromission PAM suspectée :

  1. Isolation immédiate du serveur concerné du réseau
  2. Capture de l’état mémoire (LiME pour Linux Memory Extractor) avant éteinte
  3. Comparaison de la configuration PAM actuelle avec la baseline connu
  4. Extraction des logs d’authentification pour analyse forensic
  5. Renouvellement de tous les credentials ayant transit é par le serveur
  6. Réinstallation from scratch du serveur compromised

Perspective cybersécurité : ce que PamDOORa révèle de l’évolution des menaces Linux

Convergence entre APT et cybercrime

PamDOORa illustre une tendance préoccupante : la convergence des techniques entre les groupes APT sophistiqués et les opérateurs cybercrime opportunistes. L’intégration de fonctionnalités anti-forensic, de déclencheurs conditionnels et d’architectures modulaires était jusqu’à récemment l’apanage des acteurs étatiques. Comprendre les risques des cyberattaques bancaires devient essentiel pour anticiper les nouvelles stratégies d’attaque ciblant le secteur financier.

La disponibilité de tels outils sur les marchés cybercrime démocratise l’accès à des capacités avancées pour des acteurs moins techniques mais disposant de budgets suffisants pour les acquérir.

Implications pour la sécurité des infrastructures critiques

Les systèmes Linux constituent le backbone de la plupart des infrastructures critiques : clouds publics, serveurs web, bases de données, conteneurs. La prolifération d’outils comme PamDOORa dans l’arsenal des attaquants augmente significativement le risque pour les organisations qui n’adaptent pas leur posture de sécurité à cette nouvelle réalité. Consultez notre guide complet pour vous protéger des cyberattaques sur les banques et renforcez la résilience de vos infrastructures financières.

Veille et anticipation

Face à cette évolution, les équipes de sécurité doivent maintenir une veille active sur les évolutions du paysage des menaces Linux. Les sources recommandations incluent :

  • Les publications de l’ANSSI sur les menaces ciblant les systèmes libres
  • Les rapports de threat intelligence des fournisseurs (Mandiant, CrowdStrike, Group-IB)
  • Les analyses des communautés de sécurité (PHrack, kernel archives)
  • Les信息披露 des chercheurs académiques et des contributeurs open-source

Conclusion : la menace PAM est désormais opérationnelle et accessible

PamDOORa marque une étape significative dans la maturation des outils d’attaque ciblant les systèmes Linux. Ce backdoor combine capture d’identifiants SSH, persistance via modules PAM, capacités anti-forensiques et architecture modulaire dans un package commercialisé à moins de 1 000 dollars.

Pour les organisations françaises gérant des infrastructures Linux, plusieurs actions s’imposent en urgence :

  • Réaliser un audit de la configuration PAM sur tous les serveurs exposés
  • Implémenter une surveillance d’intégrité des fichiers PAM
  • Renforcer l’authentification SSH par l’abandon des mots de passe
  • Préparer un plan de réponse spécifique aux compromissions PAM
  • Maintenir une veille threat intelligence sur les évolutions de ce type de menace

La bonne nouvelle : PamDOORa n’a pour l’instant pas été identifié dans des attaques réelles. Cette fenêtre d’opportunité permet aux équipes de sécurité d’adapter leurs défenses avant que ces techniques ne se généralisent.[]N’attendez pas que votre infrastructure soit la première victime de la prochaine évolution de PamDOORa - la préparation proactive reste votre meilleure défense contre les portes dérobées de nouvelle génération.