Los actores de amenaza están armando interfaces de protocolo de cable de depuración Java expuesto (JDWP) para obtener capacidades de ejecución de código e implementar mineros de criptomonedas en hosts comprometidos.
“El atacante utilizó una interpretación modificada de XMRIG con una configuración codificada”, lo que les permite evitar argumentos de diámetro de comandos sospechosos que a menudo son marcados por los defensores “, dijeron los investigadores de Wiz Yaara Shriki y Gili Tikochinski en un mensaje publicado esta semana”. La carga de suscripción utilizada por mineros de la piscina oculta su dirección de cubil de la criptomonedización, allí evitando los inversionistas de los inversionistas de los inversionistas.
La firma de seguridad en la cirro, que está siendo adquirida por Google Cloud, dijo que observó la actividad contra sus servidores Honeypot que ejecutan TeamCity, una popular útil de integración continua y entrega continua (CI/CD).
JDWP es un protocolo de comunicación utilizado en Java con fines de depuración. Con JDWP, los usuarios pueden exprimir un depurador para que funcione en un proceso diferente, una aplicación Java, en la misma computadora o en una computadora remota.
Pero transmitido que JDWP carece de mecanismos de autenticación o control de llegada, exponer el servicio a Internet puede brindar un nuevo vector de ataque que los atacantes pueden maltratar como un punto de entrada, lo que permite un control total sobre el proceso de Java.
En pocas palabras, la configuración errónea se puede utilizar para inyectar y ejecutar comandos arbitrarios para configurar la persistencia y finalmente ejecutar cargas enseres maliciosas.
“Si correctamente JDWP no está preparado de forma predeterminada en la mayoría de las aplicaciones Java, se usa comúnmente en entornos de incremento y depuración”, dijo Wiz. “Muchas aplicaciones populares inician automáticamente un servidor JDWP cuando se ejecutan en modo de depuración, a menudo sin hacer que los riesgos sean obvios para el desarrollador. Si se asegura de modo incorrecta o se expuso, esto puede brindar la puerta a las vulnerabilidades de ejecución de código remoto (RCE)”.
Algunas de las aplicaciones que pueden editar un servidor JDWP cuando están en modo de depuración incluyen TeamCity, Jenkins, Selenium Grid, Elasticsearch, Quarkus, Spring Boot y Apache Tomcat.
Los datos de Greynoise muestran más de 2.600 direcciones IP escaneando para puntos finales JDWP en las últimas 24 horas, de las cuales más de 1,500 direcciones IP son maliciosas y 1.100 direcciones IP se clasifican como sospechosas. La gran mayoría de estas direcciones IP se originan en China, Estados Unidos, Alemania, Singapur y Hong Kong.
En los ataques observados por Wiz, los actores de amenaza aprovechan el hecho de que la máquina imaginario Java (JVM) audición las conexiones de depuradores en el puerto 5005 para iniciar escaneo para los puertos JDWP abiertos en Internet. En la venidero período, se envía una solicitud JDWP-HandShake para confirmar si la interfaz está activa y establecer una sesión JDWP.
Una vez que se confirma que el servicio está expuesto e interactivo, los atacantes se mueven para ejecutar un comando curl para obtener y ejecutar un script de shell dropper que realiza una serie de acciones,
- Mata a mineros competidores o cualquier procesamiento de incorporación CPU
- Deje caer una interpretación modificada de XMRIG Miner para la construcción del sistema apropiada desde un servidor extranjero (“AtarmCorner (.) World”) en “~/.config/Logrotate”
- Establezca la persistencia estableciendo trabajos cron para avalar que la carga útil se vuelva a ser recogida y reinicida luego de cada inicio de sesión, reiniciar o un intervalo de tiempo programado
- Elimirse en salida
“Al ser de código libre, XMRIG ofrece a los atacantes la conveniencia de la claro personalización, lo que en este caso implicó eliminar toda la razonamiento de exploración de la diámetro de comandos y codificar la configuración”, dijo Wiz. “Este ajuste no solo simplifica la implementación, sino que asimismo permite que la carga útil imite el proceso de logrotato flamante de modo más convincente”.
Surge una nueva botnet Hppbot
La divulgación se produce cuando NSFOCUS detalló un nuevo malware basado en GO que evoluciona rápidamente llamado HPingBot que es capaz de dirigirse a los sistemas de Windows y Linux para conectarlos a una botnet que puede iniciar ataques distribuidos de torpeza de servicio (DDOS) utilizando paquetes HPPing3, una utilidad para navegar gratis para la elaboración de la artesanía y emisión de paquetes ICMP/TCP/TCP/TCP/TCP/TCP.
Un aspecto trascendental del malware es que, a diferencia de otros troyanos que generalmente se derivan de familias de malware de Botnet conocidas como Mirai y Gafgyt, Hpingbot es una tensión completamente nueva. Al menos desde el 17 de junio de 2025, se han emitido unos pocos cientos de instrucciones DDoS, con Alemania, Estados Unidos y Turquía son los principales objetivos.
“Esta es una nueva comunidad de Botnet construida desde cero, que muestra fuertes capacidades de innovación y eficiencia en el uso de los capital existentes, como la distribución de cargas a través de la plataforma de almacenamiento de texto en diámetro y la plataforma de intercambio y el emanación de los ataques DDoS utilizando la útil de prueba de red HPing3, que no solo mejoría el sigilo, sino que asimismo reduce significativamente los costos operativos y el incremento eficaz”, dijo la compañía china de cibernescutas cibernéticas.
HPingBot aprovecha principalmente las configuraciones SSH débiles, propagadas por medio de un módulo independiente que lleva a promontorio ataques de pulverización de contraseña para obtener llegada original a los sistemas.
La presencia de comentarios de depuración tudesco en el código fuente probablemente indica que la última interpretación puede estar bajo las pruebas. La esclavitud de ataque, en pocas palabras, implica el uso de pastebin como resolución de caída muerta para señalar una dirección IP (“128.0.118 (.) 18”) que, a su vez, se emplea para descargar un script de shell.
El script se usa para detectar la construcción de la CPU del host infectado, terminar una interpretación ya en ejecución del troyano y recuperar la carga útil principal que es responsable de iniciar ataques de inundación DDoS sobre TCP y UDP. Hpingbot asimismo está diseñado para establecer la persistencia y encubrir rastros de infección al barrer el historial de comando.
En un viraje interesante, los atacantes se han observado utilizando nodos controlados por HPingbot para entregar otro componente DDoS basado en GO a partir del 19 de junio que, mientras dependen de los mismos graves de comando y control (C2), evita la pasta y HPing3 para las funciones de ataque de inundación incorporadas basadas en los protocoles UDP y TCP.
Otro aspecto que vale la pena mencionar es que, aunque la interpretación de Windows no puede usar HPing3 para iniciar ataques DDoS correcto al hecho de que la útil está instalada utilizando el comando Linux “APT -Y Install”, la capacidad del malware para soltar y ejecutar cargas enseres adicionales sugere la posibilidad de que los actores de amenaza intenten ir más allá de la interrupción del servicio para convertirlo en una red de distribución de carga útil.
“Vale la pena señalar que la interpretación de Windows de HPingbot no puede tachar directamente a HPing3 para editar ataques DDoS, pero su actividad es igual de frecuente, lo que indica que los atacantes no solo se centran en editar DDoS, sino que tienen más probabilidades de centrarse en su función de descargar y ejecutar cargas enseres arbitrarias”.
