Los investigadores de ciberseguridad han detectado una nueva cambio de malware llamamiento Caoseso es capaz de atacar implementaciones en la cúmulo mal configuradas, lo que marca una expansión de la infraestructura de destino de la botnet.
“El malware del caos se dirige cada vez más a implementaciones en la cúmulo mal configuradas, expandiéndose más allá de su enfoque tradicional en enrutadores y dispositivos de borde”, dijo Darktrace en un nuevo crónica.
El caos fue documentado por primera vez por Lumen Black Lotus Labs en septiembre de 2022, y lo describió como un malware multiplataforma capaz de apuntar a entornos Windows y Linux para ejecutar comandos de shell remotos, colocar módulos adicionales, propagarse a otros hosts mediante claves SSH de fuerza bruta, extraer criptomonedas y exhalar ataques distribuidos de denegación de servicio (DDoS) a través de HTTP, TLS, TCP, UDP y WebSocket.
Se considera que el malware es una progreso de otro malware DDoS conocido como Kaiji que ha detectado instancias Docker mal configuradas. Actualmente no se sabe quién está detrás de la operación, pero la presencia de caracteres en idioma chino y el uso de infraestructura con sede en China sugieren que el actor de la amenaza podría ser de origen chino.
Darktrace dijo que identificó la nueva cambio dirigida a su red honeypot el mes pasado, una instancia de Hadoop deliberadamente mal configurada que permite la ejecución remota de código en el servicio. En el ataque detectado por la empresa de ciberseguridad, la intrusión comenzó con una solicitud HTTP al despliegue de Hadoop para crear una nueva aplicación.
La aplicación, por su parte, incorporó una secuencia de comandos de shell para recuperar un binario del agente Chaos de un servidor controlado por un atacante (“pan.tenire(.)com”), estableció permisos para permitir a todos los usuarios leerlo, modificarlo o ejecutarlo (“chmod 777”) y luego ejecutar el binario y eliminar el artefacto del disco para minimizar el indicio forense.
Un aspecto interesante del ataque es que el dominio se utilizó anteriormente en relación con una campaña de phishing por correo electrónico llevada a sitio por el clan chino de cibercrimen Silver Fox para entregar documentos señuelo y malware ValleyRAT. La campaña recibió el nombre en código Operación Silk Lure de Seqrite Labs en octubre de 2025.
El binario ELF de 64 bits es una traducción reestructurada y actualizada de Chaos que reelabora varias de sus funciones, manteniendo intacta la mayoría de sus funciones principales. Sin secuestro, uno de los cambios más significativos se refiere a la aniquilación de funciones que permitían propagarse a través de SSH y explotar las vulnerabilidades del enrutador.
En su motivo se encuentra una nueva característica de proxy SOCKS que permite que el sistema comprometido se utilice para transportar tráfico, ocultando así los verdaderos orígenes de la actividad maliciosa y dificultando que los defensores detecten y bloqueen el ataque.
“Por otra parte, incluso se han cambiado varias funciones que anteriormente se creía que eran heredadas de Kaiji, lo que sugiere que los actores de la amenaza reescribieron el malware o lo refactorizaron ampliamente”, añadió Darktrace.
La añadidura de la función de proxy es probablemente una señal de que los actores de amenazas detrás del malware buscan monetizar aún más la botnet más allá de la minería de criptomonedas y el arrendamiento de DDoS, y mantenerse al día con sus competidores en el mercado del cibercrimen ofreciendo una abanico diversa de servicios ilícitos.
“Si perfectamente Chaos no es un malware nuevo, su continua progreso pone de relieve la dedicación de los ciberdelincuentes para expandir sus botnets y mejorar las capacidades a su disposición”, concluyó Darktrace. “El nuevo cambio en botnets como AISURU y Chaos para incluir servicios proxy como características principales demuestra que la denegación de servicio ya no es el único aventura que estos botnets representan para las organizaciones y sus equipos de seguridad”.
