Investigadores de ciberseguridad han revelado detalles de una nueva campaña de criptojacking que utiliza paquetes de software pirateados como señuelo para implementar un software minero XMRig personalizado en hosts comprometidos.
“El exploración del cuentagotas recuperado, los desencadenantes de persistencia y la carga útil de minería revela una infección sofisticada de múltiples etapas que prioriza la máxima tasa de hash de minería de criptomonedas, lo que a menudo desestabiliza el sistema de la víctima”, dijo el investigador de Trellix Aswath A en un crónica técnico publicado la semana pasada.
“Encima, el malware exhibe capacidades similares a las de un insignificante, propagándose a través de dispositivos de almacenamiento externos, permitiendo el movimiento pegado incluso en entornos con espacios aislados”.
El punto de entrada del ataque es el uso de señuelos de ingeniería social, que anuncian software premium gratis en forma de paquetes de software pirateados, como instaladores de suites de productividad de oficina, para engañar a los usuarios desprevenidos para que descarguen ejecutables con malware.
El binario actúa como el sistema nervioso central de la infección y cumple diferentes funciones como instalador, cuidador, administrador de carga útil y quitamanchas para supervisar diferentes aspectos del ciclo de vida del ataque. Presenta un diseño modular que separa las funciones de monitoreo de las cargas bártulos principales responsables de la minería de criptomonedas, la ascenso de privilegios y la persistencia si se termina.
Esta flexibilidad, o cambio de modo, se logra mediante argumentos de cadeneta de comandos:
- No hay parámetros para la energía y migración del entorno durante la etapa auténtico de instalación.
- 002 Re:0, para soltar las cargas bártulos principales, iniciar el minero e ingresar a un caracolillo de monitoreo.
- 016, para reiniciar el proceso minero si se mata.
- barusu, por iniciar una secuencia de autodestrucción al eliminar todos los componentes de malware y eliminar archivos.
En el interior del malware hay una torpedo dialéctica que opera recuperando la hora del sistema tópico y comparándola con una marca de tiempo predefinida.
- Si es antaño del 23 de diciembre de 2025, el malware continúa instalando los módulos de persistencia y ejecutando el minero.
- Si es luego del 23 de diciembre de 2025, el binario se asta con el argumento “barusu”, lo que da como resultado un “desmantelamiento controlado” de la infección.
La data divisoria estricta del 23 de diciembre de 2025 indica que la campaña fue diseñada para ejecutarse indefinidamente en sistemas comprometidos, y la data probablemente indique la expiración de la infraestructura de comando y control (C2) alquilada, un cambio previsto en el mercado de las criptomonedas o un paso planificado con destino a una nueva cambio de malware, dijo Trellix.
 |
| Título: Inventario caudillo de archivos |
En el caso de la rutina de infección típico, el binario, que actúa como un “portador autónomo” para todas las cargas maliciosas, escribe los diferentes componentes en el disco, incluido un ejecutable razonable del servicio de telemetría de Windows que se utiliza para descargar la DLL del minero.
Todavía se eliminan archivos para asegurar la persistencia, finalizar las herramientas de seguridad y ejecutar el minero con privilegios elevados mediante el uso de un regulador razonable pero defectuoso (“WinRing0x64.sys”) como parte de una técnica citación “traiga su propio regulador frágil” (BYOVD). El regulador es susceptible a una vulnerabilidad rastreada como CVE-2020-14979 (puntuación CVSS: 7,8) que permite la ascenso de privilegios.
La integración de este exploit en el minero XMRig tiene como objetivo tener un viejo control sobre la configuración de bajo nivel de la CPU y aumentar el rendimiento de la minería (es afirmar, el hashrate de RandomX) entre un 15% y un 50%.
“Una característica distintiva de esta cambio XMRig es su agresiva capacidad de propagación”, dijo Trellix. “No depende sólo de que el usufructuario descargue el dropper; intenta activamente propagarse a otros sistemas a través de medios extraíbles. Esto transforma el malware de un simple troyano a un insignificante”.
La evidencia muestra que la actividad minera tuvo ocupación, aunque esporádicamente, a lo dadivoso de noviembre de 2025, antaño de dispararse el 8 de diciembre de 2025.
“Esta campaña sirve como un potente recordatorio de que el malware comercial continúa innovando”, concluyó la empresa de ciberseguridad. “Al encadenar ingeniería social, enmascaramientos de software razonable, propagación tipo insignificante y explotación a nivel de kernel, los atacantes han creado una botnet resistente y mucho efectivo”.
 |
| Cartel: Una topología de “vigilancia circular” para asegurar la persistencia |
La divulgación se produce cuando Darktrace dijo que identificó un artefacto de malware probablemente generado utilizando un maniquí de habla espacioso (LLM) que explota la vulnerabilidad React2Shell (CVE-2025-55182, puntuación CVSS: 10.0) para descargar un kit de herramientas Python, que aprovecha el paso para eliminar un minero XMRig ejecutando un comando de shell.
“Si acertadamente la cantidad de moneda generada por el atacante en este caso es relativamente muerto, y la criptominería está remotamente de ser una técnica nueva, esta campaña es una prueba de que los LLM basados en IA han hecho que el cibercrimen sea más accesible que nunca”, dijeron los investigadores Nathaniel Bill y Nathaniel Jones.
“Una sola sesión de activación con un maniquí fue suficiente para que este atacante generara un ámbito de explotación eficaz y comprometiera más de noventa hosts, lo que demuestra que no se debe subestimar el valencia operante de la IA para los adversarios”.
Los atacantes además han estado utilizando un conjunto de herramientas denominado ILOVEPOOP para inquirir sistemas expuestos que aún sean vulnerables a React2Shell, probablemente en un esfuerzo por sentar las bases para futuros ataques, según la API WhoisXML. La actividad de investigación se ha dirigido particularmente a organizaciones gubernamentales, de defensa, financieras e industriales en los EE. UU.
“Lo que hace que ILOVEPOOP sea inusual es una yerro de coincidencia entre cómo se construyó y cómo se usó”, dijo Alex Ronquillo, vicepresidente de producto de WhoisXML API. “El código en sí refleja un conocimiento de nivel avezado sobre los componentes internos de React Server y emplea técnicas de ataque que no se encuentran en ningún otro kit React2Shell documentado”.
“Pero las personas que lo implementaron cometieron errores operativos básicos al interactuar con los sistemas de monitoreo de honeypot de la API WhoisXML, errores que un atacante sofisticado normalmente evitaría. En términos prácticos, esta brecha apunta a una división del trabajo”.
“Podríamos estar analizando dos grupos diferentes: uno que creó la útil y otro que la está usando. Vemos este patrón en las operaciones patrocinadas por el estado: un equipo capaz desarrolla las herramientas y luego las entrega a los operadores que ejecutan campañas de escaneo masivo. Los operadores no necesitan entender cómo funciona la útil, solo necesitan ejecutarla”.
