(https://i.imgur.com/bO3Snyt.jpeg)
El panorama de las amenazas cibernéticas en 2025 sigue evolucionando hacia técnicas cada vez más sofisticadas que combinan cryptojacking, abuso de redes anónimas como TOR, explotación de APIs expuestas y servicios en la nube. Recientes hallazgos de Akamai y Wiz revelan nuevas variantes de ataques que comprometen infraestructuras críticas como Docker y Amazon Web Services (AWS), ampliando los riesgos para empresas de todos los sectores.
Ataques de cryptojacking mediante Docker y TORLos investigadores de Akamai identificaron en agosto de 2025 una nueva variante de malware que aprovecha API de Docker mal configuradas para desplegar contenedores maliciosos y ejecutar el minero de criptomonedas XMRig, utilizando dominios .onion en la red TOR para mantener el anonimato y complicar la detección.
El análisis muestra que los atacantes bloquean a competidores para monopolizar el acceso a la API de Docker y ejecutan cargas útiles codificadas en Base64. Posteriormente, descargan un script desde un dominio TOR, lo que permite instalar herramientas adicionales como Masscan, libpcap y torsocks, diseñadas para reconocimiento y persistencia.
Este enfoque refuerza la hipótesis de que la campaña no solo busca minado de criptomonedas, sino también la construcción de una botnet compleja capaz de lanzar ataques más amplios como DDoS, robo de datos o movimientos laterales en la red.
Técnicas avanzadas de persistencia y propagaciónEl malware utiliza contenedores basados en Alpine Docker para montar el sistema de archivos del host y ganar control sobre la infraestructura comprometida. Entre sus capacidades más destacadas se encuentran:
- Alteración de configuraciones SSH para garantizar persistencia.
- Análisis de sesiones activas en el sistema mediante la revisión de archivos como utmp.
- Inclusión de elementos inusuales, como un emoji en el código fuente, lo que sugiere la posible generación mediante modelos de lenguaje (LLM).
- Escaneo masivo en Internet para detectar otros servicios Docker en el puerto 2375 y replicar la infección.
Además, el binario del malware integra lógicas adicionales para explotar el puerto 23 (Telnet) y el 9222 (depuración remota de navegadores Chromium), aunque estas funcionalidades aún no están completamente activas. Esto abre la puerta a futuras evoluciones en las que los atacantes podrían forzar credenciales predeterminadas en routers o incluso secuestrar sesiones de navegadores Chromium para robar cookies y datos confidenciales.
Objetivo: construir una botnet globalLas evidencias indican que los atacantes buscan más que minar criptomonedas. El uso de Go como lenguaje de programación, junto con librerías como chromedp, permite a los cibercriminales automatizar interacciones con navegadores y establecer un control más sofisticado de los sistemas afectados.
El malware ya incluye un endpoint denominado httpbot/add, lo que sugiere la posibilidad de alistar equipos comprometidos en una botnet orientada a ataques de gran escala. La combinación de TOR, APIs Docker expuestas y propagación automatizada convierte esta amenaza en una de las más serias para entornos de contenedores en 2025.
Abuso de AWS SES para campañas de phishingParalelamente, la firma de seguridad en la nube Wiz denunció una campaña que explotó Amazon Simple Email Service (SES) mediante el uso de claves de acceso de AWS comprometidas. Los atacantes utilizaron estas credenciales para verificar identidades falsas de remitentes y enviar campañas masivas de phishing dirigidas a empresas de múltiples sectores.
Estos correos electrónicos imitaban notificaciones fiscales y empresariales para redirigir a los destinatarios hacia páginas de robo de credenciales, aumentando la credibilidad al provenir de dominios legítimos verificados en AWS.
La gravedad radica en que, si SES está habilitado, los atacantes pueden enviar correos aparentemente legítimos en nombre de una organización, lo que abre la puerta a fraude, spear phishing, robo de datos corporativos y suplantación de procesos críticos de negocio.
Medidas de mitigación y protección recomendadasFrente a estas campañas de cryptojacking y phishing masivo, los expertos en ciberseguridad recomiendan implementar medidas preventivas tanto en entornos de contenedores como en plataformas en la nube:
Seguridad en Docker- Limitar la exposición de APIs al Internet público.
- Implementar autenticación fuerte y segmentación de red.
- Monitorear actividades sospechosas en puertos 2375, 23 y 9222.
Protección de credenciales y entornos en la nube- Rotar claves de acceso de AWS con regularidad.
- Aplicar el principio de mínimos privilegios.
- Configurar alertas para detectar usos anómalos de SES.
Concienciación y formación- Capacitar al personal en la detección de correos de phishing.
- Simular ataques internos para evaluar la resiliencia de la organización.
En fin, las campañas de cryptojacking mediante Docker y TOR, combinadas con el abuso de AWS SES para phishing, evidencian que los atacantes están ampliando sus tácticas para comprometer tanto la infraestructura de TI como los servicios en la nube.
La convergencia entre minería ilícita de criptomonedas, construcción de botnets y ataques de ingeniería social marca un punto de inflexión en la evolución del cibercrimen en 2025. Las organizaciones deben adoptar un enfoque de seguridad proactiva y multinivel para mitigar los riesgos y fortalecer sus defensas frente a estas amenazas en expansión.
Fuente: https://thehackernews.com/