Se detecta una nueva cepa de malware Docker que bloquea a sus rivales en las API expuestas
El equipo de Akamai Hunt ha informado sobre una nueva variante de malware que ataca las API de Docker expuestas, lo que amplía una campaña documentada por primera vez a principios de este verano. La variante inicial, detallada por Trend Micro en junio de 2025, utilizaba servicios de Docker mal configurados para instalar un criptominero distribuido a través de un dominio Tor.
En la última investigación de Akamai, compartida con Hackread.com y basada en la actividad de honeypots de agosto, el malware muestra un objetivo diferente. En lugar de instalar un minero, bloquea el acceso externo a la API de Docker e instala herramientas para el control del sistema, lo que sugiere que los operadores se preparan para algo más grande que la minería de criptomonedas.
Según la entrada del blog de Akamai, los atacantes siguen explotando las API de Docker expuestas para acceder, pero su comportamiento tras obtener acceso ha cambiado. En esta nueva variante, el malware accede al sistema de archivos del host, ejecuta un script codificado en Base64 e instala mecanismos de persistencia, a la vez que bloquea port 2375 para impedir el acceso de otros atacantes.
Desde allí, la infección descarga un dropper binario escrito en Go. El código incluye detalles inusuales, como un emoji de "usuario" que sugiere que podría haber sido creado con la ayuda de un modelo de lenguaje grande (LLM).
Además, el dropper escanea las API de Docker activas mediante masscan y luego intenta repetir el ciclo de infección en otros servidores. Esto crea el inicio de una red autopropagable, una señal temprana de la creación de una botnet .
La actividad actual busca explotar las API de Docker, pero el código también contiene rutinas para Telnet y el puerto de depuración remota de Chrome. Estas funciones aún no están activas, aunque sugieren que los operadores podrían estar probando maneras de expandir el alcance del malware en futuras versiones.
El análisis de Akamai también demostró que el malware es selectivo al enfrentarse a la competencia. Busca contenedores con Ubuntu, que suelen ser utilizados por otros actores de amenazas para alojar criptomineros . Al eliminarlos, los atacantes consolidan el control sobre los servidores comprometidos, lo que refuerza la impresión de que esta campaña se centra en construir infraestructura en lugar de obtener beneficios inmediatos.
La investigación se basó en gran medida en Beelzebub , un proyecto honeypot de código abierto que simula servicios de alta interacción. Al imitar las respuestas de la API de Docker, Akamai logró inducir a los atacantes a revelar sus tácticas en un entorno controlado y publicar indicadores de vulnerabilidad, incluyendo dos dominios onion, una dirección de webhook y hashes de archivos vinculados al malware.
Los investigadores afirman que la campaña aún está en desarrollo y que los atacantes ya están modificando su forma de usar las API de Docker expuestas. Para los usuarios de Docker, mantener las API fuera de la red pública y supervisar de cerca la actividad siguen siendo las medidas más eficaces para reducir el riesgo de vulnerabilidad.
HackRead
