Chaos es un malware multiplataforma capaz de atacar entornos Windows y Linux
Investigadores de ciberseguridad han detectado una nueva variante de malware llamada Chaos, capaz de infectar implementaciones en la nube mal configuradas, lo que supone una expansión de la infraestructura de ataque de la botnet.
"El malware Chaos se dirige cada vez más a implementaciones en la nube mal configuradas, expandiéndose más allá de su enfoque tradicional en enrutadores y dispositivos periféricos", afirmó Darktrace en un nuevo informe.
Chaos fue documentado por primera vez por Lumen Black Lotus Labs en septiembre de 2022, describiéndolo como un malware multiplataforma capaz de atacar entornos Windows y Linux para ejecutar comandos de shell remotos, instalar módulos adicionales, propagarse a otros hosts mediante ataques de fuerza bruta a claves SSH, minar criptomonedas y lanzar ataques de denegación de servicio distribuido (DDoS) a través de HTTP, TLS, TCP, UDP y WebSocket.
Se considera que este malware es una evolución de otro malware DDoS conocido como Kaiji, que se ha centrado en instancias de Docker mal configuradas. Actualmente se desconoce quién está detrás de la operación, pero la presencia de caracteres chinos y el uso de infraestructura con sede en China sugieren que el responsable podría ser de origen chino.
Darktrace informó haber identificado el mes pasado una nueva variante que atacaba su red honeypot: una instancia de Hadoop mal configurada deliberadamente que permite la ejecución remota de código en el servicio. En el ataque detectado por la empresa de ciberseguridad, la intrusión comenzó con una solicitud HTTP a la implementación de Hadoop para crear una nueva aplicación.
La aplicación, por su parte, incorporó una secuencia de comandos de shell para recuperar un binario del agente Chaos de un servidor controlado por el atacante ("pan.tenire[.]com"), establecer permisos para permitir que todos los usuarios lo lean, modifiquen o ejecuten ("chmod 777") y, a continuación, ejecutar el binario y eliminar el archivo del disco para minimizar el rastro forense.
Un aspecto interesante del ataque es que el dominio ya se había utilizado anteriormente en una campaña de phishing por correo electrónico llevada a cabo por el grupo ciberdelincuente chino Silver Fox para distribuir documentos falsos y el malware ValleyRAT. La campaña, denominada Operación Silk Lure por Seqrite Labs, fue lanzada en octubre de 2025.
El binario ELF de 64 bits es una versión reestructurada y actualizada de Chaos que modifica varias de sus funciones, manteniendo intacta la mayor parte de sus características principales. Sin embargo, uno de los cambios más significativos se refiere a la eliminación de las funciones que le permitían propagarse a través de SSH y explotar vulnerabilidades en los enrutadores.
En su lugar, se ha incorporado una nueva función de proxy SOCKS que permite utilizar el sistema comprometido para el tráfico, ocultando así el verdadero origen de la actividad maliciosa y dificultando que los defensores detecten y bloqueen el ataque.
"Además, varias funciones que antes se creía que provenían de Kaiji también han sido modificadas, lo que sugiere que los ciberdelincuentes han reescrito el malware o lo han refactorizado extensamente", añadió Darktrace.
La incorporación de la función de proxy probablemente sea una señal de que los ciberdelincuentes responsables del malware buscan monetizar aún más la red de bots, más allá de la minería de criptomonedas y los ataques DDoS por encargo, y mantenerse al día con sus competidores en el mercado del cibercrimen ofreciendo una amplia gama de servicios ilícitos.
"Si bien Chaos no es un malware nuevo, su continua evolución pone de manifiesto la dedicación de los ciberdelincuentes a expandir sus botnets y mejorar las capacidades a su disposición", concluyó Darktrace. "El reciente cambio en botnets como AISURU y Chaos, que ahora incluyen servicios de proxy como características principales, demuestra que la denegación de servicio ya no es el único riesgo que estas botnets representan para las organizaciones y sus equipos de seguridad".
