¿Qué tienen en común una página de error 404 y una foto familiar? Ambas pueden robar tu dinero

Investigadores han identificado dos campañas maliciosas paralelas dirigidas a componentes vulnerables y mal configurados de infraestructuras en la nube. Ambas operaciones están vinculadas a la distribución de criptomineros, y los grupos responsables han sido denominados Soco404 y Koske —sus actividades han sido analizadas en detalle por los equipos de Wiz y Aqua Security.

Soco404 muestra una notable capacidad de adaptación: los atacantes comprometen tanto sistemas Linux como Windows, descargando malware especialmente diseñado para cada plataforma. Según los analistas de Wiz —Maor Donyan, Shahar Dorfman y Avigayil Mechtinger— los archivos maliciosos se disfrazan como procesos legítimos del sistema operativo e imitan comportamientos normales. Destaca especialmente el método de entrega mediante páginas falsas de error 404 creadas en Google Sites, que contienen componentes ejecutables. Estos recursos fueron desactivados tras la intervención de los especialistas.

Anteriormente, Soco404 había utilizado vectores basados en la explotación de Apache Tomcat, vulnerabilidades en Apache Struts y Atlassian Confluence, operando a través del botnet Sysrv. En la actual oleada de ataques, el foco se ha desplazado hacia instancias públicas de PostgreSQL. Al mismo tiempo, instalaciones previamente comprometidas de Apache Tomcat se usan como servidores de alojamiento para cargadores maliciosos compilados para ambos sistemas operativos. Entre los hosts explotados se encontró un sitio web de una empresa logística surcoreana, utilizado temporalmente como servidor intermedio para la distribución del malware.

Una vez obtenido acceso a PostgreSQL, los atacantes utilizan el comando SQL COPY ... FROM PROGRAM, que permite ejecutar comandos arbitrarios de shell directamente en la máquina objetivo. Esto permite desplegar un script de carga ejecutado en memoria RAM. Dicho script no sólo inserta el binario malicioso, sino que elimina mineros competidores y borra rastros de actividad de los registros cron y wtmp, dificultando el análisis forense posterior.

El binario, independientemente de la plataforma, se comunica con el dominio www.fastsoco[.]top, alojado en Google Sites. En el caso de Windows, el malware descarga adicionalmente el controlador WinRing0.sys para obtener privilegios de nivel NT\SYSTEM, desactiva el servicio de registro de eventos y borra sus propias huellas para reducir la probabilidad de detección.

Los analistas de Wiz destacan que los atacantes emplean un arsenal flexible de herramientas —desde utilidades estándar de Linux (wget, curl) hasta funciones integradas de Windows (certutil, PowerShell). Esta versatilidad, junto con una implementación multiplataforma y automatización, convierte a la campaña Soco404 en un ejemplo de criptominería a gran escala, centrada en alcance y resiliencia.

Paralelamente, Aqua Labs ha documentado la campaña Koske, enfocada en servidores Linux. Su rasgo distintivo es un vector de entrada inusual: la intrusión comienza con la explotación de JupyterLab, tras lo cual se inserta malware a través de imágenes JPEG con código ejecutable embebido. Estos archivos poliglota conservan una parte visual válida, mientras que el código malicioso se oculta al final del archivo y se activa tras su descarga, evadiendo las firmas de los antivirus tradicionales.

Cada imagen contiene dos componentes: una biblioteca en C que implementa un rootkit mediante LD_PRELOAD para ocultar procesos y archivos, y un script de shell que descarga y ejecuta el minero. Todo se ejecuta en memoria, sin escritura en disco, lo que dificulta enormemente su detección. El objetivo es instalar criptomineros compatibles con hasta 18 monedas diferentes, incluidas Monero, Ravencoin, Zano, Nexa y Tari, con optimización tanto para CPU como para GPU.

El investigador de Aqua, Assaf Moraz, destaca el alto grado de automatización de Koske y sugiere el posible uso de modelos generativos de lenguaje de IA durante el desarrollo. La campaña se distingue por su enfoque sistemático y un código “limpio”: es uno de los primeros casos en los que se utilizan contenedores multimedia poliglota de forma tan efectiva en ataques a infraestructuras en la nube.

Ambas campañas —Soco404 y Koske— subrayan la magnitud de las amenazas que emanan de servicios en la nube vulnerables o mal configurados. Se recomienda a los administradores revisar cuidadosamente las configuraciones, restringir el acceso público a nodos críticos y mantener el software actualizado. Se debe prestar especial atención a las plataformas PostgreSQL y JupyterLab, que a menudo permanecen vulnerables tras su implementación inicial.

Soco404 también pone de relieve la necesidad de protección contra reversiones de versiones y la implementación de controles de integridad del sistema, mientras que Koske enfatiza la importancia de filtrar archivos multimedia y ampliar los mecanismos de análisis para formatos atípicos. Ambas campañas dejan en claro que la seguridad en entornos cloud y DevOps exige vigilancia activa y continua.