Los investigadores de ciberseguridad están llamando la atención sobre múltiples campañas que aprovechan las vulnerabilidades de seguridad conocidas y exponen los servidores Redis a diversas actividades maliciosas, incluida la aprovechamiento de los dispositivos comprometidos como botnets IoT, representantes residenciales o infraestructura minera de criptomonedas. El primer conjunto de ataques implica la explotación de CVE-2024-36401 (puntaje CVSS: 9.8), una vulnerabilidad de ejecución de código remoto crítico que afecta a Osgeo Geoserver Geotools que se ha armado en ataques cibernéticos desde fines del año pasado. «Los delincuentes han utilizado la vulnerabilidad para implementar kits de desarrollo de software (SDK) legítimos o aplicaciones modificadas para obtener ingresos pasivos a través del intercambio de redes o los representantes residenciales», dijeron en un informe técnico de Palo Alto Networks, dijo en un informe técnico. «Este método para generar ingresos pasivos es particularmente sigiloso. Imite una estrategia de monetización utilizada por algunos desarrolladores de aplicaciones legítimos que eligen SDK en lugar de mostrar anuncios tradicionales. Esta puede ser una opción bien intencionada que protege la experiencia del usuario y mejora la retención de aplicaciones». La compañía de ciberseguridad dijo que los atacantes han estado investigando las instancias de Geoserver expuestas a Internet desde al menos a principios de marzo de 2025, aprovechando el acceso a la caída de ejecutables personalizados de los servidores controlados por adversario. Las cargas útiles se distribuyen a través de una instancia privada de un servidor de intercambio de archivos usando Transfer.Sh, en lugar de un servidor web HTTP convencional. Las aplicaciones utilizadas en la campaña tienen como objetivo volar bajo el radar consumiendo recursos mínimos, mientras monetizan sigilosamente el ancho de banda de Internet de las víctimas sin la necesidad de distribuir malware personalizado. Los binarios, escritos en DART, están diseñados para interactuar con servicios legítimos de ingresos pasivos, discretamente utilizando los recursos del dispositivo para actividades como el intercambio de ancho de banda. El enfoque es una situación de ganar-ganar para todas las partes involucradas, ya que los desarrolladores de las aplicaciones reciben pagos a cambio de integrar la función, y los ciberdelincuentes pueden beneficiarse del ancho de banda no utilizado utilizando un canal aparentemente inocuo que no plantea ninguna bandera roja. «Una vez ejecutándose, el ejecutable opera de forma encubierta en segundo plano, monitoreando los recursos del dispositivo y compartiendo ilícitamente el ancho de banda de la víctima siempre que sea posible», dijo la Unidad 42. «Esto genera ingresos pasivos para el atacante». Los datos de telemetría recopilados por la compañía muestran que hubo más de 7.100 instancias de Geoserver expuestas públicamente en 99 países, con China, Estados Unidos, Alemania, Gran Bretaña y Singapur tomando los cinco primeros lugares. «Esta campaña en curso muestra una evolución significativa en cómo los adversarios monetizan los sistemas comprometidos», dijo la Unidad 42. «La estrategia central de los atacantes se centra en la monetización sigilosa y persistente en lugar de la explotación agresiva de los recursos. Este enfoque favorece la generación de ingresos a largo plazo y de bajo perfil sobre técnicas fácilmente detectables». La divulgación se produce cuando Censys detalló la columna vertebral de infraestructura que alimenta una botnet IoT a gran escala llamada Polaredge que comprende los firewalls de grado empresarial y los dispositivos orientados al consumidor como enrutadores, cámaras IP y teléfonos VoIP al aprovechar las vulnerabilidades de seguridad conocidas. Actualmente no se conoce su propósito exacto, aunque está claro que la botnet no se está utilizando para la exploración de masa indiscriminada. Luego se abusa del acceso inicial para soltar una puerta trasera TLS personalizada basada en TLS MBed que facilita las actualizaciones de comando y control, limpieza de registros y infraestructura dinámicas. La puerta trasera se ha observado comúnmente implementado en puertos altos y no estándar, probablemente como una forma de evitar los escaneos de red tradicionales y el alcance de monitoreo defensivo. Polaredge exhibe rasgos que se alinean con una red de caja de relé operativa (ORB), con la plataforma de gestión de superficie de ataque indicando que hay indicios de que la campaña comenzó a junio de 2023, llegando a unos 40,000 dispositivos activos a partir de este mes. Más del 70% de las infecciones están dispersas por Corea del Sur, Estados Unidos, Hong Kong, Suecia y Canadá. «Los orbes son nodos de salida comprometidos que se reenvían al tráfico para llevar a cabo compromisos o ataques adicionales en nombre de los actores de amenazas», dijo la investigadora de seguridad Himaja Motheram. «Lo que hace que las orbes sean tan valiosas para los atacantes es que no necesitan hacerse cargo de la función central del dispositivo: pueden transmitir en silencio el tráfico en segundo plano mientras el dispositivo continúa funcionando normalmente, haciendo que la detección del propietario o ISP sea poco probable». En los últimos meses, las vulnerabilidades en productos de proveedores como Draytek, TP-Link, Raisecom y Cisco han sido atacados por malos actores para infiltrarse en ellos y desplegar una variante de Mirai Botnet en código Gayfemboy, lo que sugiere una expansión del alcance de la orientación. «La campaña de Gayfemboy abarca múltiples países, incluidos Brasil, México, Estados Unidos, Alemania, Francia, Suiza, Israel y Vietnam», dijo Fortinet. «Sus objetivos también cubren una amplia gama de sectores, como fabricación, tecnología, construcción y medios o comunicaciones». Gayfemboy is capable of targeting various system architectures, including ARM, AArch64, MIPS R3000, PowerPC, and Intel 80386. It incorporates four primary functions – Monitor, which tracks threads and processes while incorporating persistence and sandbox evasion techniques Watchdog, which attempts to bind to UDP port 47272 Attacker, which launches DDoS attacks using UDP, TCP, and Protocolos ICMP, y permite el acceso a la puerta trasera conectando a un servidor remoto para recibir comandos asesino, que se termina si recibe el comando del servidor o detecta la manipulación de la caja de arena «mientras que GayFemboy hereda los elementos estructurales de Mirai, de Mirai, presenta modificaciones notables que mejoran tanto su complejidad como su capacidad para evadir la detección de seguridad, vincent LI. «Esta evolución refleja la creciente sofisticación del malware moderno y refuerza la necesidad de estrategias de defensa proactivas e impulsadas por la inteligencia». Los hallazgos también coinciden con una campaña de criptojacking realizada por un actor de amenaza llamado Ta-Natalstatus que apunta a los servidores Redis expuestos para entregar mineros de criptomonedas. El ataque esencialmente implica escanear para los servidores Redis no autenticados en el puerto 6379, seguido de emitir comandos de configuración legítima, establecer y guardar para ejecutar un trabajo de cron malicioso que está diseñado para ejecutar un script de shell que deshabilita Selinux, realiza pasos de evasión de defensa, bloquea las conexiones externas al puerto Redis para evitar que los actores de rivales usen la vía de acceso inicial para ingresar y la competencia de la competencia, y los procesos de la competencia. También se implementan scripts para instalar herramientas como MassCan o PNSCan, y luego iniciar comandos como «MassCan -Shard» para escanear Internet en busca de instancias de redis susceptibles. El último paso implica establecer persistencia a través de un trabajo cron por hora y iniciar el proceso minero. La firma de ciberseguridad Cloudsek dijo que la actividad es una evolución de una campaña de ataque revelada por Trend Micro en abril de 2020, empacando nuevas características para acomodar características similares a RootKit para ocultar procesos maliciosos y alterar las marcas de tiempo de sus archivos para engañar al análisis forense. «Al cambiar el nombre de binarios del sistema como PS y TOP a PS. Original y reemplazándolos con envoltorios maliciosos, filtran su propio malware (httpgd) fuera de la salida. Un administrador que busca el minero no lo verá usando herramientas estándar», dijo el investigador Abhishek Mathew. «Cambian el nombre de Curl y Wget a CD1 y WD1. Este es un método simple pero brillante para evitar los productos de seguridad que monitorean descargas maliciosas específicamente iniciadas por estos nombres de herramientas comunes».
