La campaña de malware recientemente descubierta se dirige al entorno Docker y emplea sofisticadas técnicas de ofuscación de múltiples capas para detectar criptojacking y secuestro de recursos informáticos.
Los investigadores de seguridad de DarkTrace y Cado Security Labs analizaron la campaña, revelando tanto el ingenio técnico de los atacantes como los mayores riesgos que enfrentan la infraestructura contenedorizada.
Docker: los principales objetivos de malware
Docker, una plataforma de contenedores líder, se dirige cada vez más a objetivos cibercriminales debido a su adopción generalizada y facilidad de contenedores de los registros públicos.
Los atacantes usan imágenes alojadas en Docker Hub para aprovechar los servicios malentendidos o publicados para lanzar contenedores maliciosos.
La campaña comienza con una solicitud para ejecutar un contenedor desde Docker Hub, específicamente Kazutod/Tene: Ten Image.
Este contenedor está diseñado para ejecutar el script Python Ten.py incrustado dentro de la capa de imagen. Los analistas de seguridad utilizaron las herramientas incorporadas de Docker para extraer y analizar imágenes y descubrieron esquemas de ofuscación complejos.
La ofuscación funciona así:
El script Ten.py define una función Lambda que invertida la cadena codificada Base64, la decodifica, la descomprime usando ZLIB y ejecuta el código resultante. Este proceso se repite recursivamente. La carga útil decodificada llama a la misma función de decodificación nuevamente cada vez que pasa una nueva cadena ofuscada. Los analistas encontraron que 63 iteraciones de este bucle de decodificación eran necesarias para finalmente revelar el código malicioso real.
Esta profunda jerarquía de ofuscación es inusual. Si bien una ofuscación suele ser suficiente para evitar la detección basada en la firma, el uso de docenas de capas de atacantes tiene la intención de molestar a los analistas humanos y las herramientas automatizadas.
A pesar de los esfuerzos, los investigadores pudieron automatizar el proceso de desenspiración y extraer la carga útil final en cuestión de minutos.
Un nuevo enfoque para cripto
A diferencia del malware criptográfico tradicional, que implementa herramientas como XMRIG para extraer directamente la criptomoneda, la campaña aprovecha un nuevo enfoque.
El código combinado se conecta a Teneo.pro, una inicio de Web3 legítima que ejecuta una red de datos de redes sociales distribuidas.
Al ejecutar el nodo y enviar pings “Keep” continuos, el malware obtiene “puntos Teneo”.
En particular, el malware no realiza el raspado de datos real, como el software de nodo legítimo. En cambio, simula actividades para maximizar las recompensas de token.
Este método permite que un atacante se beneficie sin causar un alto uso de recursos o anomalías de red típicas de las operaciones mineras tradicionales.
La campaña destaca una tendencia más amplia, según el informe. Los atacantes destacan que están abusando de plataformas distribuidas legítimas y sistemas de recompensas de herramientas mineras conocidas que se detectan fácilmente.
El cierre de estos tokens privados dificulta rastrear o cuantificar los intereses de los atacantes.
Los expertos en seguridad enfatizan que el entorno Docker sigue siendo un objetivo muy atractivo, alentando a las organizaciones a:
No publique servicios de Docker en Internet a menos que sea absolutamente necesario. Use una autenticación fuerte y firewalls para restringir el acceso. Auditar y monitorear periódicamente la actividad del contenedor debido a anomalías. Extraiga imágenes solo de fuentes de confianza y escanee para malware.
A medida que los atacantes continúan innovando, los defensores deben mantenerse atentos, adaptar sus prácticas de seguridad para proteger la infraestructura contenederizada de amenazas cada vez más sofisticadas.
Informe de tendencia de malware 15,000 incidentes del equipo SOC, trimestre de 2025! -> Obtenga una copia gratis
