Los atacantes pueden obtener un control significativo sobre los sistemas afectados

Investigadores de ciberseguridad han descubierto una variante de una campaña recientemente descubierta que abusa de la red TOR para realizar ataques de criptojacking dirigidos a las API de Docker expuestas.

Akamai, que descubrió la última actividad el mes pasado, afirmó que está diseñada para impedir que otros actores accedan desde internet a la API de Docker.

Los hallazgos se basan en un informe anterior de Trend Micro de fines de junio de 2025, que descubrió una campaña maliciosa que tenía como objetivo instancias de Docker expuestas para instalar sigilosamente un minero de criptomonedas XMRig usando un dominio TOR para el anonimato.

"Esta nueva variante parece utilizar herramientas similares a la original, pero podría tener un objetivo diferente, como la posibilidad de sentar las bases de una botnet compleja", afirmó el investigador de seguridad Yonatan Gilvarg.

La cadena de ataque consiste básicamente en acceder a las API de Docker mal configuradas para ejecutar un nuevo contenedor basado en la imagen de Docker de Alpine y montar en él el sistema de archivos del host. A continuación, los actores de amenazas ejecutan una carga útil codificada en Base64 para descargar un descargador de scripts de shell desde un dominio .onion.

El script, además de alterar las configuraciones de SSH para configurar la persistencia, también instala otras herramientas como masscan, libpcap, libpcap-dev, zstd y torsocks para realizar reconocimiento, contactar a un servidor de comando y control (C2) y descargar un binario comprimido de un segundo dominio .onion.

"El primer archivo que se descarga es un dropper escrito en Go que incluye el contenido que se quiere descargar, por lo que no se comunicará con internet", explicó Gilvarg. "Excepto por otro archivo binario, analiza el archivo utmp para encontrar quién está conectado a la máquina".

Curiosamente, el código fuente del archivo binario incluye un emoji que representa a los usuarios que han iniciado sesión en el sistema. Esto indica que el artefacto podría haber sido creado mediante un modelo de lenguaje grande (LLM).

El cuentagotas también lanza Masscan para escanear Internet en busca de servicios de API de Docker abiertos en el puerto 2375 y propagar la infección a esas máquinas repitiendo el mismo proceso de creación de un contenedor con el comando Base64.

Además, el binario incluye comprobaciones para dos puertos más: 23 (Telnet) y 9222 (puerto de depuración remota para navegadores Chromium), aunque la funcionalidad para propagarse a través de esos puertos aún no se ha desarrollado por completo.

El método de ataque Telnet implica el uso de un conjunto de enrutadores y credenciales de dispositivos predeterminados conocidos para forzar los inicios de sesión y exfiltrar intentos de inicio de sesión exitosos a un punto final webhook[.]site con detalles sobre la dirección IP de destino y las credenciales de autenticación de la víctima.

En el caso del puerto 9222, el malware utiliza una biblioteca Go llamada chromedp para interactuar con el navegador web. Anteriormente, actores de amenazas norcoreanos lo habían utilizado como arma para comunicarse con servidores C2 e incluso para malware ladrón que evadía el cifrado de Chrome vinculado a la aplicación, se conectaba remotamente a sesiones de Chromium y extraía cookies y otros datos privados.

Luego procede a conectarse a una sesión existente con el puerto remoto abierto y finalmente envía un POST al mismo dominio .onion utilizado para recuperar el descargador de script de shell con información sobre la dirección IP de origen en la que se encuentra el malware y el destino al que encontró acceso en el puerto 9222.

Los detalles se transmiten a un punto final llamado "httpbot/add", lo que aumenta la posibilidad de que los dispositivos con puertos de depuración remota expuestos para Chrome/Chromium puedan ser incluidos en una botnet para entregar cargas útiles adicionales que pueden robar datos o usarse para realizar ataques distribuidos de denegación de servicio (DDoS).

"Como el malware solo escanea el puerto 2375, la lógica para gestionar los puertos 23 y 9222 es actualmente inaccesible y no se ejecutará", afirmó Gilvarg. "Sin embargo, la implementación ya existe, lo que podría indicar futuras capacidades".

"Los atacantes pueden obtener un control significativo sobre los sistemas afectados por el abuso de API. Es fundamental segmentar las redes, limitar la exposición de los servicios a internet y proteger las credenciales predeterminadas. Al adoptar estas medidas, las organizaciones pueden reducir significativamente su vulnerabilidad a estas amenazas".