Estás alimentando una cripto-granja ajena. Tú mismo. Voluntariamente. Con tu dinero, tu hardware y tu silencio

Se ha detectado una campaña maliciosa a gran escala en la que atacantes explotan una vulnerabilidad en Apache HTTP Server para propagar el criptominero Linuxsys. La vulnerabilidad CVE-2021-41773 (con un puntaje CVSS de 7.5) permite la ejecución remota de código mediante la omisión de rutas en la versión 2.4.49 del servidor.

Según VulnCheck, el malware se distribuye a través de sitios legítimos que han sido previamente comprometidos. Esto permite a los atacantes evitar los sistemas de seguridad sin levantar sospechas. Como explica el investigador Jacob Baines, el truco está en que el acceso se realiza por HTTPS, con certificados válidos que no generan alertas.

El ataque se inicia desde la dirección IP 103.193.177[.]152 (Indonesia), desde donde se descarga un script vía curl o wget desde el sitio repositorylinux[.]org. Luego, este script descarga el minero Linuxsys desde cinco dominios distintos, todos aparentemente legítimos — lo que indica que los atacantes han incrustado el malware en infraestructura de terceros.

También se identificó el archivo cron.sh, responsable de ejecutar el minero automáticamente tras cada reinicio. Se hallaron incluso binarios para Windows, lo que sugiere que la campaña podría expandirse más allá de sistemas Linux.

Linuxsys ya había sido distribuido antes mediante otras vulnerabilidades críticas, como:

• CVE-2024-36401 (CVSS 9.8) — en la biblioteca GeoTools de OSGeo GeoServer.
• CVE-2023-22527 — en Atlassian Confluence.
• CVE-2023-34960 — en Chamilo LMS.
• CVE-2023-38646 — en Metabase.
• CVE-2024-0012 y CVE-2024-9474 — en productos de Palo Alto Networks.

Los expertos creen que estamos ante una campaña sostenida que aprovecha vulnerabilidades “n-day”, sitios comprometidos y técnicas de evasión. Atacan solo sistemas activos, evitando trampas como los honeypots de baja interacción.

Curiosamente, este pico de actividad coincide con la nueva oleada del botnet H2Miner, vinculado al minero Kinsing y enfocado también en sistemas Linux. Esta vez se detectó además el ransomware Lcryx, escrito en VBScript y renombrado como Lcrypt0rx — probablemente generado con IA.

Este ransomware:

• Desactiva software de seguridad,
• Mata procesos de bases de datos,
• Lanza Kinsing,
• Descarga el minero XMRig,
• Y destruye procesos de minería rivales.

También modifica el registro de Windows, deshabilita herramientas administrativas (MSConfig, GPEdit, Process Explorer), apaga defensas de Microsoft, Bitdefender y Kaspersky, e intenta dañar el MBR, potencialmente inutilizando todo el sistema.

Incluye además cargas útiles como Cobalt Strike, ScreenConnect, los ladrones de información Lumma y RustyStealer, y el RAT DCRat mediante un inyector personalizado.

Aunque exige un rescate de $1000 en criptomonedas, el cifrado es tan débil (simple XOR sin guardar claves) que los datos pueden recuperarse fácilmente. Para muchos, esto es más bien un método de intimidación, mientras la verdadera prioridad sigue siendo: minar en silencio.

Por su parte, Kaspersky reportó actividad paralela con el backdoor GhostContainer, usado contra organismos gubernamentales en Asia mediante la vieja vulnerabilidad CVE-2020-0688 de Microsoft Exchange. Este backdoor permite ejecutar código, manipular archivos, y usa túneles proxy disfrazados como tráfico normal de Exchange — ideal para APT.

Todo esto muestra que el panorama de amenazas evoluciona rápidamente. Minería, ransomware, RATs y exploits se combinan en una sola estrategia silenciosa de robo de recursos. ¿Tu infraestructura ya está en la lista?