Se ha observado una campaña en curso dirigida a clientes de Amazon Web Services (AWS) que utilizan credenciales de diligencia de identidad y acercamiento (IAM) comprometidas para permitir la minería de criptomonedas.
La actividad, detectada por primera vez por el servicio de detección de amenazas administrado GuardDuty de Amazon y sus sistemas automatizados de monitoreo de seguridad el 2 de noviembre de 2025, emplea técnicas de persistencia nunca ayer vistas para obstaculizar la respuesta a incidentes y continuar sin obstáculos, según un nuevo documentación compartido por el superhombre tecnológico ayer de su publicación.
“Operando desde un proveedor de alojamiento extranjero, el actor de amenazas enumeró rápidamente posibles y permisos ayer de implementar posibles de criptominería en ECS y EC2”, dijo Amazon. “A los 10 minutos de que el actor de amenazas obtuviera el acercamiento original, los criptomineros estaban operativos”.
La dependencia de ataque de varias etapas esencialmente comienza cuando el adversario desconocido aprovecha las credenciales de becario de IAM comprometidas con privilegios similares a los de administrador para iniciar una etapa de descubrimiento diseñada para sondear el entorno en búsqueda de cuotas de servicios EC2 y probar sus permisos invocando la API RunInstances con el indicador “DryRun” configurado.
Esta autorización del indicador “DryRun” es crucial e intencional, ya que permite a los atacantes validar sus permisos de IAM sin divulgar instancias, evitando así acumular costos y minimizando su huella forense. El objetivo final del paso es determinar si la infraestructura de destino es adecuada para implementar el software minero.
La infección pasa a la sucesivo etapa cuando el actor de amenazas fogata a CreateServiceLinkedRole y CreateRole para crear roles de IAM para grupos de escalado instintivo y AWS Lambda, respectivamente. Una vez creados los roles, la política “AWSLambdaBasicExecutionRole” se adjunta al rol de Lambda.
En la actividad observada hasta la época, se dice que el actor de amenazas creó docenas de clústeres ECS en todo el entorno, superando en algunos casos los 50 clústeres ECS en un solo ataque.
“Luego llamaron a RegisterTaskDefinition con una imagen maliciosa de DockerHub yenik65958/secret:user”, dijo Amazon. “Con la misma dependencia utilizada para la creación del clúster, el actor creó un servicio, utilizando la definición de tarea para iniciar la minería criptográfica en los nodos ECS Fargate”.
La imagen de DockerHub, que desde entonces ha sido eliminada, está configurada para ejecutar un script de shell tan pronto como se implementa para iniciar la minería de criptomonedas utilizando el operación de minería RandomVIREL. Por otra parte, se ha observado que el actor de amenazas crea grupos de escalamiento instintivo que están configurados para subir de 20 a 999 instancias en un esfuerzo por explotar las cuotas de servicios de EC2 y maximizar el consumo de posibles.
La actividad de EC2 se ha centrado tanto en instancias de GPU y formación instintivo de detención rendimiento como en instancias de computación, memoria y de uso caudillo.
Lo que distingue a esta campaña es el uso de la hecho ModifyInstanceAttribute con el parámetro “disableApiTermination” establecido en “True”, lo que evita que una instancia finalice mediante la consola, la interfaz de cadeneta de comandos o la API de Amazon EC2. Esto, a su vez, tiene el propósito de exigir a las víctimas que vuelvan a habilitar la terminación de API ayer de eliminar los posibles afectados.
“La protección de terminación de instancias puede afectar las capacidades de respuesta a incidentes e interrumpir los controles de remediación automatizados”, dijo Amazon. “Esta técnica demuestra una comprensión de los procedimientos comunes de respuesta de seguridad y la intención de maximizar la duración de las operaciones mineras”.
Esta no es la primera vez que sale a la luz el peligro de seguridad asociado con ModifyInstanceAttribute. En abril de 2024, el investigador de seguridad Harsha Koushik demostró una prueba de concepto (PoC) que detallaba cómo se puede explotar de la hecho para hacerse cargo de instancias, exfiltrar credenciales de rol de instancia e incluso tomar el control de toda la cuenta de AWS.
Por otra parte, los ataques implican la creación de una función Lambda que puede ser invocada por cualquier principal y un becario de IAM “user-x1x2x3x4” al que se adjunta la política administrada de AWS “AmazonSESFullAccess”, otorgando al adversario acercamiento completo a Amazon Simple Email Service (SES) para probablemente tolerar a mango ataques de phishing.
Para defenderse contra la amenaza, Amazon insta a los clientes de AWS a seguir los pasos a continuación:
- Aplique controles sólidos de diligencia de identidad y acercamiento
- Implementar credenciales temporales en oficio de claves de acercamiento a espléndido plazo
- Utilice la autenticación multifactor (MFA) para todos los usuarios
- Aplicar el principio de privilegio leve (PoLP) a los principales de IAM para restringir el acercamiento
- Agregue controles de seguridad de contenedores para escanear en búsqueda de imágenes sospechosas
- Monitorear solicitudes de asignación de CPU inusuales en definiciones de tareas de ECS
- Utilice AWS CloudTrail para registrar eventos en los servicios de AWS
- Asegúrese de que AWS GuardDuty esté competente para favorecer los flujos de trabajo de respuesta automatizados
“El uso programado por parte del actor de amenazas de múltiples servicios informáticos, en combinación con técnicas de persistencia emergentes, representa un avance significativo en las metodologías de ataque de criptominería”.
