Los investigadores de ciberseguridad han revelado detalles de una nueva campaña de criptojacking que utiliza paquetes de software pirateados como señuelos para implementar un programa de minería XMRig a medida en los servidores comprometidos.

«El análisis del gotero recuperado, los factores de persistencia y la carga útil de minería revela una infección sofisticada y de varias etapas que prioriza la máxima tasa de hash de la minería de criptomonedas y, a menudo, desestabiliza el sistema de la víctima», dijo Aswath A, investigador de Trellix dijo en un informe técnico publicado la semana pasada.

«Además, el malware presenta capacidades similares a las de los gusanos y se propaga por dispositivos de almacenamiento externos, lo que permite el movimiento lateral incluso en entornos con espacios aislados».

El punto de partida del ataque es el uso de señuelos de ingeniería social, que anuncian software premium gratuito en forma de paquetes de software pirateados, como instaladores para suites de productividad de oficina, para engañar a los usuarios desprevenidos para que descarguen ejecutables repletos de malware.

El binario actúa como el sistema nervioso central de la infección y desempeña diferentes funciones como instalador, guardián, administrador de carga útil y limpiador para supervisar diferentes aspectos del ciclo de vida del ataque. Cuenta con un diseño modular que separa las funciones de monitorización de las cargas útiles principales responsables de la minería de criptomonedas, la escalada de privilegios y la persistencia en caso de finalización. adsense

Esta flexibilidad, o cambio de modo, se logra mediante argumentos de línea de comandos -

  • No hay parámetros para la validación y migración del entorno durante la fase inicial de instalación.
  • 002 Re:0, para dejar caer las principales cargas útiles, poner en marcha el minero y entrar en un circuito de monitoreo.
  • 016, para reiniciar el proceso minero si se mata.
  • barusu, para iniciar una secuencia de autodestrucción al terminar todos los componentes de malware y eliminar archivos.

Dentro del malware hay una bomba lógica que funciona recuperando la hora del sistema local y comparándola con una marca de tiempo predefinida -

  • Si es antes del 23 de diciembre de 2025, el malware continúa con la instalación de los módulos de persistencia y el lanzamiento del minero.
  • Si es posterior al 23 de diciembre de 2025, el binario se lanza con el argumento «barusu», lo que resulta en un «desmantelamiento controlado» de la infección.

La fecha límite del 23 de diciembre de 2025 indica que la campaña se diseñó para ejecutarse indefinidamente en sistemas comprometidos, y es probable que la fecha indique el vencimiento de la infraestructura de comando y control (C2) alquilada, un cambio previsto en el mercado de las criptomonedas o un cambio planificado hacia una nueva variante de malware, según Trellix.

Título: Inventario general de archivos

En el caso de la rutina de infección estándar, el binario, que actúa como un «portador autónomo» para todas las cargas maliciosas, escribe los diferentes componentes en el disco, incluido un ejecutable legítimo del servicio de telemetría de Windows que se utiliza para descargar la DLL del minero.

También se eliminan los archivos para garantizar la persistencia, eliminar las herramientas de seguridad y ejecutar al minero con privilegios elevados mediante un controlador legítimo pero defectuoso (» WinRing0x64.sys «) como parte de una técnica llamada traiga su propio conductor vulnerable ( POR OVD ). El conductor es susceptible a una vulnerabilidad rastreada como CVE2020-14979 (puntuación CVSS: 7,8) que permite la escalada de privilegios.

La integración de este exploit en el minero XMRig permite tener un mayor control sobre la configuración de bajo nivel de la CPU y aumentar el rendimiento de la minería (es decir, la tasa de hash de RandomX) entre un 15% y un 50%.

«Una característica distintiva de esta variante de XMRig es su capacidad de propagación agresiva», dijo Trellix. «No depende únicamente de que el usuario descargue el cuentagotas, sino que intenta propagarse activamente a otros sistemas a través de medios extraíbles. De este modo, el malware deja de ser un simple troyano para convertirse en un gusano».

La evidencia muestra que la actividad minera tuvo lugar, aunque de forma esporádica, durante noviembre de 2025, antes de alcanzar su punto máximo el 8 de diciembre de 2025.

«Esta campaña sirve como un poderoso recordatorio de que el malware convencional sigue innovando», concluyó la empresa de ciberseguridad. «Al combinar la ingeniería social, las mascaradas de software legítimo, la propagación similar a la de un gusano y la explotación a nivel del núcleo, los atacantes han creado una red de bots resiliente y altamente eficiente».

Título: una topología de «vigilancia circular» para garantizar la persistencia

La revelación se produce cuando Darktrace dijo que identificó un artefacto de malware probablemente generado utilizando un modelo de lenguaje grande (LLM) que explota el React 2 Shell vulnerabilidad (CVE-2025-55182, puntuación CVSS: 10.0) para descargar un kit de herramientas de Python, que aprovecha el acceso para eliminar un minero de XMRig mediante la ejecución de un comando de shell.

«Si bien la cantidad de dinero que genera el atacante en este caso es relativamente baja y la criptominería dista mucho de ser una técnica nueva, esta campaña demuestra que los LLM basados en la inteligencia artificial han hecho que la ciberdelincuencia sea más accesible que nunca», afirman los investigadores Nathaniel Bill y Nathaniel Jones dijo .

«Una sola sesión de solicitud con un modelo fue suficiente para que este atacante generara un marco de exploits funcional y pusiera en peligro a más de noventa servidores, lo que demuestra que no debe subestimarse el valor operativo de la IA para los adversarios».

enlaces

Los atacantes también han estado utilizando un conjunto de herramientas denominado ME ENCANTA EL POPÓ para buscar sistemas expuestos que aún sean vulnerables a React2Shell, probablemente en un esfuerzo por sentar las bases para futuros ataques, según la API de WhoisXML. La actividad de investigación se ha dirigido especialmente a las organizaciones gubernamentales, de defensa, financieras e industriales de los EE. UU.

«Lo que hace que ILOVEPOOP sea inusual es la falta de coincidencia entre la forma en que se creó y la forma en que se usó», dijo Alex Ronquillo, vicepresidente de producto de la API de WhoisXML. «El código en sí mismo refleja un conocimiento experto de los componentes internos de React Server y emplea técnicas de ataque que no se encuentran en ningún otro kit de React2Shell documentado».

«Sin embargo, las personas que lo implementaron cometieron errores operativos básicos al interactuar con los sistemas de monitoreo honeypot de la API de WhoisXML, errores que un atacante sofisticado normalmente evitaría. En términos prácticos, esta brecha apunta a una división del trabajo».

«Es posible que estemos estudiando dos grupos diferentes: uno que creó la herramienta y otro que la está utilizando. Vemos este patrón en las operaciones patrocinadas por el estado: un equipo competente desarrolla las herramientas y luego las entrega a los operadores que llevan a cabo campañas de escaneo masivo. Los operadores no necesitan entender cómo funciona la herramienta, solo tienen que utilizarla».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.