Los investigadores de ciberseguridad han descubierto una variante de una campaña divulgada recientemente que abusa de la red TOR para realizar ataques de criptojacking dirigidos a las API de Docker expuestas.
Akamai, que descubrió la actividad más reciente el mes pasado, dijo que está diseñada para impedir que otros actores accedan a la API de Docker desde Internet.
Los hallazgos se basan en un informe previo de Trend Micro a finales de junio de 2025, que descubrió una campaña maliciosa dirigida a instancias de Docker expuestas para eliminar sigilosamente un minero de criptomonedas de XMRig que utilizaba un dominio TOR para mantener el anonimato.
«Esta nueva cepa parece utilizar herramientas similares a las de la original, pero puede tener un objetivo final diferente, incluida la posibilidad de sentar las bases de una red de bots compleja», dijo el investigador de seguridad Yonatan Gilvarg dijo .
Básicamente, la cadena de ataque implica irrumpir en las API de Docker mal configuradas para ejecutar un nuevo contenedor basado en la imagen de Alpine Docker y montar el sistema de archivos del host en él. A continuación, los atacantes utilizan una carga útil codificada en Base64 para descargar un programa de descarga de scripts de shell desde un dominio.onion.
El script, además de modificar las configuraciones de SSH para configurar la persistencia, también instala otras herramientas como masscan, libpcap, libpcap-dev, zstd y torsocks para realizar reconocimientos, contactar con un servidor de comando y control (C2) y descargar un binario comprimido desde un segundo dominio .onion.
«El primer archivo que se descarga es un cuentagotas escrito en Go que incluye el contenido que quiere eliminar, por lo que no se comunica con Internet», explica Gilvarg. «Excepto para eliminar otro archivo binario, analiza el archivo utmp para averiguar quién ha iniciado sesión actualmente en la máquina».
Curiosamente, el código fuente del archivo binario incluye un emoji para representar a los usuarios que han iniciado sesión en el sistema. Esto indica que es posible que el artefacto se haya creado utilizando un modelo de lenguaje amplio (LLM).
El dropper también lanza Masscan para escanear Internet en busca de servicios API de Docker abiertos en el puerto 2375 y propagar la infección a esas máquinas repitiendo el mismo proceso de creación de un contenedor con el comando Base64.
Además, el binario incluye comprobaciones para dos puertos más: 23 ( Telnet ) y 9222 ( puerto de depuración remoto para los navegadores Chromium), aunque la funcionalidad de propagación a través de esos puertos aún no se ha desarrollado por completo.
El método de ataque Telnet implica el uso de un conjunto de credenciales conocidas y predeterminadas de enrutadores y dispositivos para forzar los inicios de sesión y filtrar los intentos de inicio de sesión exitosos a un punto final del sitio webhook [.] con detalles sobre la dirección IP de destino y las credenciales de autenticación de la víctima.
En el caso del puerto 9222, el malware utiliza una biblioteca Go llamada chromedp para interactuar con el navegador web. Anteriormente había sido convertido en arma por Actores de amenazas norcoreanos para comunicarse con los servidores C2 e incluso mediante robar malware para eludir el de Chrome cifrado vinculado a la aplicación , conéctese de forma remota a las sesiones de Chromium y extraiga cookies y otros datos privados.
A continuación, se conecta a una sesión existente con el puerto remoto abierto y, en última instancia, envía un POST al mismo dominio .onion utilizado para recuperar el descargador de scripts de shell con información sobre la dirección IP de origen en la que se encuentra el malware y el destino al que encontró acceso en el puerto 9222.
Los detalles se transmiten a un punto final denominado «httpbot/add», lo que aumenta la posibilidad de que los dispositivos con puertos de depuración remotos expuestos para Chrome/Chromium se puedan incorporar a una red de bots para entregar cargas útiles adicionales que puedan robar datos o utilizarse para llevar a cabo ataques de denegación de servicio distribuidos (DDoS).
«Como el malware solo busca el puerto 2375, la lógica para gestionar los puertos 23 y 9222 es actualmente inalcanzable y no se ejecutará», dijo Gilvarg. «Sin embargo, la implementación existe, lo que puede indicar la existencia de capacidades futuras».
«Los atacantes pueden obtener un control significativo sobre los sistemas afectados por el abuso de las API. No se puede exagerar la importancia de segmentar las redes, limitar la exposición de los servicios a Internet y proteger las credenciales predeterminadas. Al adoptar estas medidas, las organizaciones pueden reducir significativamente su vulnerabilidad a este tipo de amenazas».
Wiz denuncia la campaña de abuso de AWS SES
La revelación se produce cuando la empresa de seguridad en la nube Wiz detalló una campaña de Amazon Simple Email Service (SES) en mayo de 2025 que aprovechó las claves de acceso comprometidas de Amazon Web Services (AWS) como plataforma de lanzamiento para un ataque masivo de suplantación de identidad.
Actualmente no se sabe cómo se obtuvieron las claves. Sin embargo, existen varios métodos con los que un atacante puede lograrlo: la exposición pública accidental en repositorios de código o mediante activos mal configurados, o el robo en una estación de trabajo de un desarrollador mediante malware robador.
«El atacante usó la clave comprometida para acceder al entorno de AWS de la víctima, eludir las restricciones integradas de SES, verificar las nuevas identidades de los 'remitentes' y preparar y llevar a cabo metódicamente una operación de suplantación de identidad», dijeron los investigadores de Wiz Itay Harel y Hila Ramati dijo .
Wiz, que investigó más a fondo la campaña de correo electrónico en asociación con Proofpoint, dijo que los correos electrónicos estaban dirigidos a varias organizaciones de múltiples geografías y sectores, y empleaban señuelos de temática fiscal para redirigir a los destinatarios a las páginas de recolección de credenciales.
«Si SES está configurado en tu cuenta, los atacantes pueden enviar correos electrónicos desde tus dominios verificados», advirtió Wiz. «Además de dañar la marca, esto posibilita la suplantación de identidad que parece provenir de uno mismo y que puede utilizarse con fines de suplantación de identidad, fraude, robo de datos o encubrimiento en los procesos empresariales».