Pesquisadores em cybersecurity estão alertando para múltiplas campanhas que exploram vulnerabilidades conhecidas e expõem servidores Redis a diversas atividades maliciosas, incluindo o uso dos dispositivos comprometidos como botnets IoT, proxies residenciais ou infraestrutura para mineração de criptomoedas.
O primeiro conjunto de ataques explora a vulnerabilidade
CVE-2024-36401
(pontuação CVSS: 9.8), uma falha crítica de execução remota de código que impacta o OSGeo GeoServer GeoTools e tem sido utilizada em ataques cibernéticos desde o final do ano passado.
"Criminosos têm usado a vulnerabilidade para implantar SDKs legítimos ou aplicativos modificados para obter receita passiva por meio de compartilhamento de rede ou proxies residenciais", afirmaram os pesquisadores da Unit 42 da Palo Alto Networks, Zhibin Zhang, Yiheng An, Chao Lei e Haozhe Zhang, em um relatório técnico.
Esse método de gerar receita passiva é particularmente furtivo.
Ele imita uma estratégia de monetização usada por alguns desenvolvedores de aplicativos legítimos, que optam por SDKs ao invés de propagandas tradicionais.
Essa pode ser uma escolha bem-intencionada, focada em proteger a experiência do usuário e melhorar a retenção do app.
A empresa de cybersecurity revelou que os atacantes vêm sondando instâncias do GeoServer expostas na internet desde, pelo menos, o início de março de 2025, explorando o acesso para inserir executáveis personalizados vindos de servidores controlados pelos adversários.
Os payloads são distribuídos via uma instância privada de um servidor de compartilhamento de arquivos utilizando o serviço transfer.sh, em vez de servidores web HTTP convencionais.
Os aplicativos usados na campanha buscam passar despercebidos, consumindo poucos recursos, enquanto monetizam silenciosamente a largura de banda da internet das vítimas sem a necessidade de distribuir malware personalizado.
Os binários, escritos em Dart, são projetados para interagir com serviços legítimos de renda passiva, usando discretamente os recursos dos dispositivos para atividades como compartilhamento de banda.
Essa abordagem é vantajosa para todas as partes envolvidas: os desenvolvedores dos aplicativos recebem pagamentos pela integração do recurso, enquanto os cibercriminosos lucram explorando a largura de banda ociosa por meio de um canal aparentemente inofensivo que não levanta suspeitas.
"Uma vez em execução, o executável opera de forma oculta em segundo plano, monitorando os recursos do dispositivo e compartilhando ilícitamente a largura de banda da vítima sempre que possível", explicou a Unit 42.
Isso gera receita passiva para o atacante.
Dados de telemetria coletados pela empresa indicam que existem mais de 7.100 instâncias públicas do GeoServer expostas em 99 países, com China, Estados Unidos, Alemanha, Reino Unido e Singapura ocupando as cinco primeiras posições.
"Essa campanha em andamento demonstra uma evolução significativa na forma como os adversários monetizam sistemas comprometidos", complementou a Unit 42.
A estratégia central dos atacantes foca na monetização furtiva e persistente, em vez da exploração agressiva de recursos.
Essa abordagem prioriza geração de receita de longo prazo e baixo perfil em detrimento de técnicas facilmente detectáveis.
Na mesma linha, a empresa Censys detalhou a infraestrutura que alimenta um botnet IoT em grande escala chamado PolarEdge, que inclui firewalls corporativos e dispositivos de consumo como roteadores, câmeras IP e telefones VoIP, aproveitando vulnerabilidades conhecidas.
O propósito exato da botnet ainda é desconhecido, mas está claro que ela não é usada para varreduras massivas indiscriminadas.
O acesso inicial é explorado para instalar um backdoor TLS personalizado baseado em Mbed TLS, que facilita o comando e controle criptografados, limpeza de logs e atualizações dinâmicas da infraestrutura.
O backdoor costuma ser implantado em portas altas e não padrão, provavelmente para evitar varreduras tradicionais e monitoramento de rede.
PolarEdge apresenta características compatíveis com uma rede do tipo Operational Relay Box (ORB), e a plataforma de gerenciamento de superfície de ataque indica que a campanha começou já em junho de 2023, alcançando cerca de 40.000 dispositivos ativos neste mês.
Mais de 70% das infecções estão concentradas na Coreia do Sul, Estados Unidos, Hong Kong, Suécia e Canadá.
"ORBs são nós de saída comprometidos que encaminham tráfego para realizar compromissos ou ataques adicionais em nome dos agentes de ameaça", explicou a pesquisadora de segurança Himaja Motheram.
O que torna os ORBs tão valiosos para os atacantes é que eles não precisam controlar a função principal do dispositivo – podem encaminhar o tráfego discretamente em segundo plano enquanto o dispositivo continua funcionando normalmente, dificultando sua detecção pelo proprietário ou ISP.
Nos últimos meses, vulnerabilidades em produtos de fornecedores como DrayTek, TP-Link, Raisecom e Cisco foram exploradas por agentes maliciosos para infiltrações e implantação de uma variante do botnet Mirai batizada de gayfemboy, indicando uma ampliação do escopo dos alvos.
A campanha gayfemboy atinge múltiplos países, incluindo Brasil, México, Estados Unidos, Alemanha, França, Suíça, Israel e Vietnã", informou a Fortinet.
"Seus alvos abrangem diversos setores, como manufatura, tecnologia, construção, além de mídia e comunicações.
O gayfemboy é capaz de atingir diferentes arquiteturas de sistemas, incluindo ARM, AArch64, MIPS R3000, PowerPC e Intel 80386.
Ele incorpora quatro funções principais:
- Monitor: acompanha threads e processos, incluindo técnicas de persistência e evasão de sandbox.
- Watchdog: tenta se vincular à porta UDP 47272.
- Attacker: lança ataques DDoS usando os protocolos UDP, TCP e ICMP e habilita acesso via backdoor conectando-se a um servidor remoto para receber comandos.
- Killer: encerra sua execução caso receba ordem do servidor ou detecte manipulação de sandbox.
"Embora o gayfemboy herde elementos estruturais do Mirai, ele apresenta modificações que aumentam sua complexidade e capacidade de evasão", afirmou o pesquisador de segurança Vincent Li.
Essa evolução reflete a crescente sofisticação dos malwares modernos e reforça a necessidade de estratégias de defesa proativas e orientadas por inteligência.
Esses achados coincidem com uma campanha de cryptojacking conduzida por um ator chamado TA-NATALSTATUS, que tem como alvo servidores Redis expostos para instalar mineradores de criptomoedas.
O ataque consiste em escanear servidores Redis não autenticados na porta 6379, seguido pela execução de comandos legítimos CONFIG, SET e SAVE para ativar um cron job malicioso que executa um shell script.
Esse script desativa o SELinux, realiza etapas de evasão de defesa, bloqueia conexões externas à porta do Redis para impedir a entrada de rivais e termina processos de mineração concorrentes, como o Kinsing.
Além disso, são instalados scripts para ferramentas como masscan e pnscan; em seguida, comandos como "masscan --shard" são executados para escanear a internet em busca de instâncias Redis vulneráveis.
O processo final envolve estabelecer persistência via cron job rodado a cada hora e iniciar a mineração.
A empresa de cybersecurity CloudSEK comentou que essa atividade representa uma evolução de uma campanha divulgada pela Trend Micro em abril de 2020, integrando novas funções similares a rootkits para ocultar processos maliciosos e alterar timestamps de arquivos para enganar análises forenses.
"Renomeando binários do sistema como ps e top para ps.original e substituindo-os por wrappers maliciosos, eles filtram seu próprio malware (httpgd) da saída dos comandos. Um administrador que busca mineradores não os verá usando ferramentas padrão", explicou o pesquisador Abhishek Mathew.
Eles também renomeiam curl e wget para cd1 e wd1.
Essa é uma técnica simples, porém eficaz, para burlar produtos de segurança que monitoram downloads maliciosos iniciados por essas ferramentas comuns.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...