Se detectó un minero de criptomonedas de Linux que usa sitios legítimos para propagar malware.

Una investigación reciente de VulnCheck ha revelado una campaña de criptominería que ha estado operando desapercibida durante años. El actor de amenazas responsable de esta operación, que utiliza el minero Linuxsys, ha estado atacando sistemas vulnerables desde al menos 2021, manteniendo una estrategia consistente que se basa en gran medida en sitios web legítimos comprometidos para distribuir malware.

Lo que dificulta la detección de esta campaña es que el atacante utiliza sitios web reales como canales de distribución de malware. En lugar de alojar cargas útiles en dominios sospechosos, comprometen sitios web de terceros con certificados SSL válidos y colocan allí sus enlaces de descarga. Esto no solo les ayuda a eludir numerosos filtros de seguridad, sino que también mantiene su infraestructura principal (como el sitio de descarga repositorylinux.org ) a distancia de los archivos de malware.

Entre el 1 y el 16 de julio de este año, los analistas de VulnCheck detectaron repetidos intentos de explotación desde la dirección IP 103.193.177.152 contra una instancia canaria de Apache 2.4.49. Estos intentos estaban relacionados con la vulnerabilidad CVE-2021-41773 . Si bien esta vulnerabilidad en particular no es nueva y sigue siendo un objetivo común, la entidad que la explotaba destacó.

Los atacantes usaron un script simple llamado linux.sh , que extrae tanto el archivo de configuración como el binario de Linuxsys de una lista de cinco sitios web comprometidos. Estos incluyen dominios como prepstarcenter.com , wisecode.it y dodoma.shop , todos sitios web aparentemente normales.

Según la entrada del blog de VulnCheck, compartida con Hackread.com antes de su publicación el miércoles, la lista no era aleatoria. Esto le daba al atacante opciones de respaldo si un sitio web se caía o dejaba de funcionar, de modo que el malware pudiera seguir distribuyéndose sin interrupciones.

El archivo de configuración del minero obtenido de estos sitios apunta a hashvault.pro como el pool de minería e identifica la billetera asociada a la operación. Esta billetera ha estado recibiendo pequeños pagos desde enero de 2025, con un promedio de alrededor de 0,024 XMR al día, aproximadamente 8 $.

Aunque $8 parezca insignificante, la operación no se centra necesariamente en altos ingresos. La consistencia y la duración sugieren otros objetivos, o posiblemente mayor actividad minera en otros lugares que aún no se ha observado.

Siguiendo el rastro de Linuxsys en el tiempo, apareció por primera vez en 2021 en unaentrada de blog de Hal Pomeranz, un reconocido experto en análisis forense digital de Linux y Unix, que analizaba la explotación del mismo CVE. Desde entonces, se ha vinculado a múltiples vulnerabilidades a través de informes de varias empresas de ciberseguridad. Estas incluyen CVE recientes como 2023-22527 , 2023-34960 y 2024-36401 .

Todas estas vulnerabilidades de seguridad se explotaron mediante una explotación de vulnerabilidades de día n , la preparación de contenido en una infraestructura web comprometida y operaciones de minería persistente. Una vulnerabilidad de día n es un error de seguridad ya conocido que suele tener solución. El nombre simplemente significa que la falla ha estado pública durante un número determinado de días, donde "n" representa los días transcurridos desde que el problema se hizo público o se corrigió por primera vez.

También hay evidencia de que la operación no se limita a Linux. Se encontraron dos ejecutables de Windows, nssm.exe y winsys.exe , en los mismos hosts comprometidos. Si bien VulnCheck no los observó en acción, su presencia sugiere un alcance más amplio que no se limita a los sistemas Linux.

Lo que ha mantenido a esta campaña tan discreta es probablemente una combinación de una selección cuidadosa y la evitación deliberada de honeypots . VulnCheck señala que el atacante parece preferir entornos de alta interacción, lo que significa que los servidores cebo típicos suelen pasar por alto esta actividad por completo. Este enfoque cauteloso probablemente ha ayudado a la campaña a evitar atraer demasiada atención a pesar de llevar años activa.

VulnCheck ha publicado reglas para Suricata y Snort que detectan intentos de explotación para todos los CVE asociados conocidos. Entre los indicadores de vulnerabilidad se incluyen las direcciones IP, URL y hashes de archivos relacionados con el ataque. También se han proporcionado reglas de detección que los equipos de seguridad pueden usar para identificar consultas DNS y tráfico HTTP asociados con el descargador y los scripts iniciales de carga útil.