Investigadores de ciberseguridad han revelado detalles de una nueva campaña de criptojacking que utiliza paquetes de software pirateados como cebo para implementar un programa minero XMRig personalizado en hosts comprometidos.
«El análisis de los cuentagotas recuperados, los desencadenantes de persistencia y las cargas útiles de minería revela infecciones sofisticadas de múltiples etapas que priorizan maximizar la tasa de hash de minería de criptomonedas, a menudo desestabilizando los sistemas de las víctimas», dijo el investigador de Trellix Aswath A en un informe técnico publicado la semana pasada.
«Además, este malware exhibe capacidades similares a las de un gusano, propagándose a través de dispositivos de almacenamiento externos y permitiendo el movimiento lateral incluso en entornos con espacios abiertos».
El punto de entrada de los ataques es el uso de cebos de ingeniería social que promueven software premium gratuito en forma de paquetes de software pirateados, como instaladores de paquetes de productividad de oficina, para engañar a los usuarios desprevenidos para que descarguen ejecutables cargados de malware.
Este binario actúa como el sistema nervioso central de la infección, desempeñando varias funciones como instalador, guardián, administrador de carga útil y limpiador, y monitorea varios aspectos del ciclo de vida del ataque. Presenta un diseño modular que separa la funcionalidad de monitoreo de la carga útil principal, que es responsable de la extracción de criptomonedas, la escalada de privilegios y la persistencia al salir.
Esta flexibilidad, o cambio de modo, se logra mediante argumentos de línea de comando.
Durante las etapas iniciales de instalación, no existen parámetros para la validación y migración del entorno. 002 Re:0, se eliminó la carga útil principal, se inició el minero, se inició el ciclo de monitoreo. 016, reinicie el proceso menor si se mata. barusu, inicia una secuencia de autodestrucción al eliminar todos los componentes del malware y eliminar archivos.
Hay una bomba lógica dentro del malware que opera tomando la hora del sistema local y comparándola con una marca de tiempo predefinida.
Antes del 23 de diciembre de 2025, el malware continúa instalando el módulo de persistencia y ejecutando el minero. Después del 23 de diciembre de 2025, el binario se lanzará con el argumento ‘barusu’, lo que dará como resultado un ‘retiro controlado’ de la infección.
La fecha límite estricta del 23 de diciembre de 2025 indica que la campaña está diseñada para ejecutarse indefinidamente en sistemas comprometidos, y esa fecha probablemente indica la expiración de la infraestructura de comando y control (C2) alquilada, cambios anticipados en el mercado de criptomonedas o planes para migrar a nuevas variantes de malware, dijo Trellix.
Subtítulos: inventario general de archivos
En una rutina de infección estándar, el binario, que actúa como un «portador autónomo» para todas las cargas maliciosas, escribe varios componentes en el disco, incluido un ejecutable legítimo del servicio de telemetría de Windows que se utiliza para descargar archivos DLL menores.
También elimina archivos para garantizar la persistencia, finaliza las herramientas de seguridad y ejecuta el minero con privilegios elevados utilizando un controlador legítimo pero defectuoso (‘WinRing0x64.sys’) como parte de una técnica conocida como BYOVD (Traiga su propio controlador de vulnerabilidad). Este controlador se ve afectado por una vulnerabilidad registrada como CVE-2020-14979 (puntuación CVSS: 7,8) que permite la escalada de privilegios.
La integración de este exploit en el minero XMRig aumenta el rendimiento de la minería (hashrate aleatorio) entre un 15 % y un 50 % con más control sobre la configuración de bajo nivel de la CPU.
«La característica distintiva de esta variante XMRig es su agresiva capacidad de propagación», dijo Trellix. «En lugar de depender únicamente de que los usuarios descarguen el dropper, intenta activamente propagarse a otros sistemas a través de medios extraíbles. Esto transforma el malware de un simple troyano a un gusano».
La evidencia indica que la actividad minera, aunque esporádica, ocurrió durante todo noviembre de 2025, antes de dispararse el 8 de diciembre de 2025.
«Esta campaña es un fuerte recordatorio de que el malware comercial continúa innovando», concluyó la firma de ciberseguridad. «A través de una cadena de ingeniería social, enmascaramiento de software legítimo, propagación tipo gusano y explotación a nivel de kernel, los atacantes crearon una botnet resistente y altamente eficiente».
Leyenda: Topología de «vigilancia cíclica» para garantizar la persistencia
Esta divulgación se produce después de que Darktrace anunciara que había identificado un artefacto de malware que puede haber sido generado utilizando un modelo de lenguaje a gran escala (LLM) que explota una vulnerabilidad en React2Shell (CVE-2025-55182, puntuación CVSS: 10.0) para descargar un kit de herramientas de Python. Este artefacto de malware aprovecha el acceso para eliminar el minero XMRig mediante la ejecución de comandos de shell.
Los investigadores Nathaniel Bill y Nathaniel Jones dijeron: «Aunque la cantidad de dinero generada por los atacantes en este incidente fue relativamente pequeña, y la criptominería no es de ninguna manera una técnica nueva, esta campaña es evidencia de que el LLM basado en IA ha hecho que el cibercrimen sea más accesible que nunca».
«Una sesión de activación con el modelo fue suficiente para que este atacante generara un marco de explotación funcional y comprometiera más de 90 hosts, lo que demuestra que no se debe subestimar el valor operativo de la IA para los adversarios».
Según la API WhoisXML, los atacantes también están utilizando un conjunto de herramientas llamado ILOVEPOOP para buscar sistemas públicos que aún sean vulnerables a React2Shell. Probablemente se trate de un esfuerzo por sentar las bases para futuros ataques. Este esfuerzo de investigación está dirigido específicamente a organizaciones gubernamentales, de defensa, financieras e industriales de Estados Unidos.
«Lo inusual de ILOVEPOOP es que la forma en que se construye y la forma en que se utiliza no están alineadas», dijo Alex Ronquillo, vicepresidente de productos de WhoisXML API. «El código en sí refleja un conocimiento de nivel experto de los componentes internos de React Server y emplea técnicas de ataque que no se encuentran en otros kits documentados de React2Shell».
«Sin embargo, las personas que lo implementaron cometieron un error operativo básico al interactuar con el sistema de monitoreo de honeypot de la API WhoisXML, un error que los atacantes sofisticados generalmente evitan. En la práctica, esta brecha es indicativa de una división del trabajo».
«Es posible que estemos analizando dos grupos diferentes: el grupo que construyó la herramienta y el grupo que la está utilizando. Vemos este patrón en las operaciones patrocinadas por el estado. Un equipo capaz desarrolla una herramienta y se la entrega a un operador que ejecuta una campaña de escaneo a gran escala. El operador no necesita entender cómo funciona la herramienta; simplemente ejecutar la herramienta es suficiente».
Source link
