Se ha observado una campaña en curso dirigida a los clientes de Amazon Web Services (AWS) que utilizan una gestión de identidad y acceso comprometida ( SOY YO ) credenciales para permitir la minería de criptomonedas.
La actividad, detectada por primera vez por el servicio gestionado de detección de amenazas GuardDuty de Amazon y sus sistemas automatizados de monitoreo de seguridad el 2 de noviembre de 2025, emplea técnicas de persistencia nunca antes vistas para obstaculizar la respuesta a los incidentes y continuar sin obstáculos, según un nuevo informe compartido por el gigante tecnológico antes de su publicación.
«Al operar desde un proveedor de alojamiento externo, el actor de la amenaza enumeró rápidamente los recursos y permisos antes de implementar los recursos de criptominería en ECS y EC2», dijo Amazon dijo . «A los 10 minutos de que el actor de la amenaza obtuviera el acceso inicial, los criptomineros estaban operativos».
Básicamente, la cadena de ataques en varias etapas comienza cuando el adversario desconocido aprovecha las credenciales de usuario de IAM comprometidas con privilegios similares a los de un administrador para iniciar una fase de descubrimiento diseñada para analizar el entorno en busca de cuotas de servicio de EC2 y probar sus permisos invocando el API RunInstances con la bandera «DryRun» establecida.
Esta activación del indicador «DryRun» es crucial e intencional, ya que permite a los atacantes validar sus permisos de IAM sin tener que lanzar instancias, lo que evita acumular costos y minimizar su rastro forense. El objetivo final de este paso es determinar si la infraestructura objetivo es adecuada para implementar el programa minero.
La infección pasa a la siguiente etapa cuando el actor de la amenaza llama Crear función de servicio enlazada y Crear rol para crear funciones de IAM para grupos de escalado automático y AWS Lambda, respectivamente. Una vez creados los roles, el» Función básica de ejecución de AWS Lambda «la política está asociada a la función Lambda.
En la actividad observada hasta la fecha, se dice que el actor de la amenaza creó docenas de clústeres de ECS en todo el entorno y, en algunos casos, superaron los 50 clústeres de ECS en un solo ataque.
«Luego llamaron a RegisterTaskDefinition con una imagen maliciosa de DockerHub yenik65958/secret:user», dijo Amazon. «Con la misma cadena utilizada para crear el clúster, el actor creó un servicio, utilizando la definición de la tarea para iniciar la minería criptográfica en los nodos de ECS Fargate».
La imagen de DockerHub, que ya ha sido eliminada, está configurada para ejecutar un script de shell tan pronto como se despliegue para iniciar la minería de criptomonedas mediante el Virel aleatorio algoritmo de minería. Además, se ha observado que el actor de la amenaza crea grupos de escalado automático configurados para pasar de 20 a 999 instancias con el fin de aprovechar las cuotas de servicio de EC2 y maximizar el consumo de recursos.
La actividad de EC2 se ha centrado tanto en las instancias de aprendizaje automático y de GPU de alto rendimiento como en las instancias de procesamiento, memoria y de uso general.
Lo que hace que esta campaña destaque es el uso del Modificar atributo de instancia acción con el parámetro «DisableApiTermination» establecido en «True», que evita que una instancia se termine mediante la consola, la interfaz de línea de comandos o la API de Amazon EC2. Esto, a su vez, tiene el efecto de exigir a las víctimas que vuelvan a activar la finalización de la API antes de eliminar los recursos afectados.
«La protección contra la terminación de instancias puede afectar las capacidades de respuesta a incidentes e interrumpir los controles de remediación automatizados», afirma Amazon. «Esta técnica demuestra la comprensión de los procedimientos de respuesta de seguridad comunes y su intención de maximizar la duración de las operaciones mineras».
No es la primera vez que sale a la luz el riesgo de seguridad asociado con ModifyInstanceAttribute. En abril de 2024, el investigador de seguridad Harsha Koushik demostrada una prueba de concepto (PoC) en la que se detallaba cómo se puede abusar de la acción para apoderarse de las instancias, filtrar las credenciales de los roles de instancia e incluso hacerse con el control de toda la cuenta de AWS.
Además, los ataques implican la creación de un Función lambda que puede invocar cualquier principal y un usuario de IAM «user-x1x2x3x4" al que AWS administró la política» Acceso completo a Amazon SES «se adjunta, lo que otorga al adversario acceso completo a través del Amazon Simple Email Service (SES) para, probablemente, llevar a cabo ataques de suplantación de identidad.
Para protegerse contra la amenaza, Amazon insta a los clientes de AWS a seguir los pasos que se indican a continuación:
- Implemente controles sólidos de administración de identidades y accesos
- Implemente credenciales temporales en lugar de claves de acceso a largo plazo
- Utilice la autenticación multifactor (MFA) para todos los usuarios
- Aplique el principio de privilegio mínimo (PoLP) a los directores de IAM para restringir el acceso
- Agregue controles de seguridad de contenedores para escanear en busca de imágenes sospechosas
- Supervise las solicitudes de asignación de CPU inusuales en las definiciones de tareas de ECS
- Utilice AWS CloudTrail para registrar eventos en los servicios de AWS
- Asegúrese de que AWS GuardDuty esté habilitado para facilitar los flujos de trabajo de respuesta automatizados
«El uso programado de múltiples servicios informáticos por parte del actor de amenazas, en combinación con las técnicas de persistencia emergentes, representa un avance significativo en las metodologías de ataque de la criptominería», concluyó Amazon.