Los investigadores de ciberseguridad están llamando la atención sobre múltiples campañas que aprovechan las vulnerabilidades de seguridad conocidas y exponen los servidores Redis a diversas actividades maliciosas, incluida la usufructo de los dispositivos comprometidos como botnets IoT, representantes residenciales o infraestructura minera de criptomonedas.
El primer conjunto de ataques implica la explotación de CVE-2024-36401 (puntaje CVSS: 9.8), una vulnerabilidad de ejecución de código remoto crítico que afecta a Osgeo Geoserver Geotools que se ha armado en ataques cibernéticos desde fines del año pasado.
“Los delincuentes han utilizado la vulnerabilidad para implementar kits de avance de software (SDK) legítimos o aplicaciones modificadas para obtener ingresos pasivos a través del intercambio de redes o los representantes residenciales”, dijeron en un referencia técnico de Palo Detención Networks, dijo en un referencia técnico.
“Este método para gestar ingresos pasivos es particularmente sigiloso. Imite una logística de monetización utilizada por algunos desarrolladores de aplicaciones legítimos que eligen SDK en circunstancia de mostrar anuncios tradicionales. Esta puede ser una opción proporcionadamente intencionada que protege la experiencia del favorecido y perfeccionamiento la retención de aplicaciones”.
La compañía de ciberseguridad dijo que los atacantes han estado investigando las instancias de Geoserver expuestas a Internet desde al menos a principios de marzo de 2025, aprovechando el golpe a la caída de ejecutables personalizados de los servidores controlados por adversario. Las cargas bártulos se distribuyen a través de una instancia privada de un servidor de intercambio de archivos usando Transfer.Sh, en circunstancia de un servidor web HTTP convencional.
Las aplicaciones utilizadas en la campaña tienen como objetivo explosionar bajo el radar consumiendo fortuna mínimos, mientras monetizan sigilosamente el ufano de cuadrilla de Internet de las víctimas sin la penuria de distribuir malware personalizado. Los binarios, escritos en DART, están diseñados para interactuar con servicios legítimos de ingresos pasivos, discretamente utilizando los fortuna del dispositivo para actividades como el intercambio de ufano de cuadrilla.
El enfoque es una situación de ganar-ganar para todas las partes involucradas, ya que los desarrolladores de las aplicaciones reciben pagos a cambio de integrar la función, y los ciberdelincuentes pueden beneficiarse del ufano de cuadrilla no utilizado utilizando un canal aparentemente inocuo que no plantea ninguna bandera roja.
“Una vez ejecutándose, el ejecutable opera de forma fraude en segundo plano, monitoreando los fortuna del dispositivo y compartiendo ilícitamente el ufano de cuadrilla de la víctima siempre que sea posible”, dijo la Pelotón 42. “Esto genera ingresos pasivos para el atacante”.
Los datos de telemetría recopilados por la compañía muestran que hubo más de 7.100 instancias de Geoserver expuestas públicamente en 99 países, con China, Estados Unidos, Alemania, Gran Bretaña y Singapur tomando los cinco primeros lugares.
“Esta campaña en curso muestra una progreso significativa en cómo los adversarios monetizan los sistemas comprometidos”, dijo la Pelotón 42. “La logística central de los atacantes se centra en la monetización sigilosa y persistente en circunstancia de la explotación agresiva de los fortuna. Este enfoque favorece la procreación de ingresos a liberal plazo y de bajo perfil sobre técnicas fácilmente detectables”.
La divulgación se produce cuando Censys detalló la columna vertebral de infraestructura que alimenta una botnet IoT a gran escalera llamamiento Polaredge que comprende los firewalls de calidad empresarial y los dispositivos orientados al consumidor como enrutadores, cámaras IP y teléfonos VoIP al exprimir las vulnerabilidades de seguridad conocidas. Actualmente no se conoce su propósito exacto, aunque está claro que la botnet no se está utilizando para la exploración de masa indiscriminada.
Luego se abusa del golpe auténtico para soltar una puerta trasera TLS personalizada basada en TLS MBed que facilita las actualizaciones de comando y control, saneamiento de registros y infraestructura dinámicas. La puerta trasera se ha observado comúnmente implementado en puertos altos y no unificado, probablemente como una forma de evitar los escaneos de red tradicionales y el valor de monitoreo defensivo.
Polaredge exhibe rasgos que se alinean con una red de caja de relé operativa (ORB), con la plataforma de mandato de superficie de ataque indicando que hay indicios de que la campaña comenzó a junio de 2023, llegando a unos 40,000 dispositivos activos a partir de este mes. Más del 70% de las infecciones están dispersas por Corea del Sur, Estados Unidos, Hong Kong, Suecia y Canadá.
“Los orbes son nodos de salida comprometidos que se reenvían al tráfico para soportar a promontorio compromisos o ataques adicionales en nombre de los actores de amenazas”, dijo la investigadora de seguridad Himaja Motheram. “Lo que hace que las orbes sean tan valiosas para los atacantes es que no necesitan hacerse cargo de la función central del dispositivo: pueden transmitir en silencio el tráfico en segundo plano mientras el dispositivo continúa funcionando normalmente, haciendo que la detección del propietario o ISP sea poco probable”.
En los últimos meses, las vulnerabilidades en productos de proveedores como Draytek, TP-Link, Raisecom y Cisco han sido atacados por malos actores para infiltrarse en ellos y desplegar una reforma de Mirai Botnet en código Gayfemboy, lo que sugiere una expansión del valor de la orientación.
“La campaña de Gayfemboy albarca múltiples países, incluidos Brasil, México, Estados Unidos, Alemania, Francia, Suiza, Israel y Vietnam”, dijo Fortinet. “Sus objetivos igualmente cubren una amplia tono de sectores, como fabricación, tecnología, construcción y medios o comunicaciones”.
Gayfemboy es capaz de apuntar a diversas arquitecturas del sistema, incluidas ARM, AARCH64, MIPS R3000, PowerPC e Intel 80386. Incorpora cuatro funciones principales –
- Maestroque rastrea hilos y procesos mientras incorpora técnicas de persistencia y esparcimiento de sandbox
- Perro vigilanteque intenta unirse al puerto UDP 47272
- Atacanteque inicia los ataques DDoS utilizando los protocolos UDP, TCP e ICMP, y permite el golpe a la puerta trasera conectando a un servidor remoto para admitir comandos
- Adversoque se termina si recibe el comando del servidor o detecta la manipulación de sandbox
“Si proporcionadamente Gayfemboy hereda los medios estructurales de Mirai, introduce modificaciones notables que mejoran tanto su complejidad como su capacidad para sortear la detección”, dijo el investigador de seguridad Vincent Li. “Esta progreso refleja la creciente sofisticación del malware flamante y refuerza la penuria de estrategias de defensa proactivas e impulsadas por la inteligencia”.
Los hallazgos igualmente coinciden con una campaña de criptojacking realizada por un actor de amenaza llamado Ta-Natalstatus que apunta a los servidores Redis expuestos para entregar mineros de criptomonedas.
El ataque esencialmente implica escanear para los servidores Redis no autenticados en el puerto 6379, seguido de emitir comandos de configuración legítima, establecer y obedecer para ejecutar un trabajo de cron bellaco que está diseñado para ejecutar un script de shell que deshabilita Selinux, realiza pasos de esparcimiento de defensa, bloquea las conexiones externas al puerto Redis para evitar que los actores de rivales usen la vía de golpe auténtico para ingresar y la competencia de la competencia, y los procesos de la competencia.
Todavía se implementan scripts para instalar herramientas como MassCan o PNSCan, y luego iniciar comandos como “MassCan -Shard” para escanear Internet en pesquisa de instancias de redis susceptibles. El extremo paso implica establecer persistencia a través de un trabajo cron por hora y iniciar el proceso minero.
La firma de ciberseguridad Cloudsek dijo que la actividad es una progreso de una campaña de ataque revelada por Trend Micro en abril de 2020, empacando nuevas características para acomodar características similares a RootKit para ocultar procesos maliciosos y alterar las marcas de tiempo de sus archivos para engañar al exploración forense.
“Al cambiar el nombre de binarios del sistema como PS y TOP a PS. Flamante y reemplazándolos con envoltorios maliciosos, filtran su propio malware (httpgd) fuera de la salida. Un administrador que pesquisa el minero no lo verá usando herramientas unificado”, dijo el investigador Abhishek Mathew. “Cambian el nombre de Curl y Wget a CD1 y WD1. Este es un método simple pero brillante para evitar los productos de seguridad que monitorean descargas maliciosas específicamente iniciadas por estos nombres de herramientas comunes”.
