Fuente: Hackread.com – Autor: Waqas. El equipo Hunt de Akamai ha informado una nueva variante de malware dirigido a las API de Docker expuestas, expandiéndose en una campaña documentada por primera vez a principios de este verano. La tensión inicial, detallada por Trend Micro en junio de 2025, utilizó servicios de Docker mal configurados para instalar un criptominer entregado a través de un dominio TOR. En la última investigación de Akamai, que la compañía compartió con Hackread.com, basada en la actividad de honeypot de agosto, el malware muestra un objetivo diferente. En lugar de dejar caer un minero, bloquea el acceso externo a la API de Docker e instala herramientas para el control del sistema, lo que sugiere que los operadores se están preparando para algo más grande que la minería de criptomonedas. Según la publicación del blog de Akamai, los atacantes todavía están explotando las API de Docker expuestas para entrar, pero lo que hacen después de obtener acceso ha cambiado. En esta nueva variante, el malware gana acceso al sistema de archivos host, ejecuta un script codificado por Base64 e instala mecanismos de persistencia al tiempo que bloquea el puerto 2375 para mantener a otros atacantes fuera. Construyendo hacia una botnet desde allí, la infección derriba un gotero binario escrito en Go. El código incluye detalles inusuales, como un emoji de «usuario» que sugiere que puede haber sido construido con la ayuda de un modelo de idioma grande (LLM). Imagen a través de Akamai Además, los escaneos de cuentagotas para las API activas de Docker utilizando MassCan, luego intenta repetir el ciclo de infección entre otros servidores. Esto crea los inicios de una red autopropagante, un signo temprano de una creación de botnet. La actividad actual tiene como objetivo explotar las API de Docker, pero el código también contiene rutinas para el puerto de depuración remota de Telnet y Chrome. Esas características aún no están activas, aunque sugieren que los operadores pueden estar probando formas de expandir el alcance del malware en versiones futuras. El análisis de los competidores de Akamai también mostró que el malware es selectivo cuando se trata de la competencia. Comprueba los contenedores que ejecutan Ubuntu, que a menudo utilizan otros actores de amenaza para albergar criptominos. Al eliminarlos, los atacantes consolidan el control sobre los servidores comprometidos, reforzando la impresión de que esta campaña se trata de construir infraestructura en lugar de recolectar rendimientos rápidos. La investigación se basó en gran medida en Beelzebub, un proyecto de honeypot de código abierto que simula servicios de alta interacción. Al imitar las respuestas de API de Docker, Akamai pudo atraer a los atacantes para que revelen sus tácticas en un entorno controlado y publiquen indicadores de compromiso, incluidos dos dominios de cebolla, una dirección de webhook y archivos de hashes vinculados al malware. Los investigadores dicen que la campaña todavía se está desarrollando, y los atacantes ya están cambiando la forma en que usan API de Docker expuestas. Para los usuarios de Docker, mantener API fuera de la actividad pública y de monitoreo sigue siendo los pasos más efectivos para reducir el riesgo de compromiso. URL de publicación original: https://hackread.com/new-docker-malware-bloquing-rivals-sexposed-apis/category & tags: seguridad, malware, akamai, API, botnet, criptominación, ataque cibernético, ciberseguridad, acojas, micro de tendencia-seguridad, malware, AKAMAI, API, BOTNET, criptominación, cyberSE Ataque, ciberseguridad, Docker, Trend Micro