Hackers Usan Docker y Tor para Minar Criptomonedas en las Sombras

Diego Cortes R. martes, junio 24, 2025Compartir:

 

Investigadores de Trend Micro han descubierto una campaña activa que explota instancias Docker mal configuradas para desplegar criptomineros de forma encubierta, utilizando la red Tor para ocultar su infraestructura y movimientos.


El ataque comienza con una solicitud desde la IP 198.199.72[.]27 a la API remota de Docker para listar contenedores activos. Si no hay ninguno, el atacante crea uno nuevo basado en la imagen “alpine” y monta el directorio raíz del host (/) dentro del contenedor, lo que permite acceso directo al sistema anfitrión: una técnica conocida como container escape.



Una vez dentro, se ejecuta un script codificado en Base64 que instala Tor y configura el tráfico saliente a través de la red anónima. Esto permite al atacante descargar un segundo script desde un dominio .onion, el cual instala herramientas como masscan, torsocks, libpcap y zstd, y modifica la configuración de SSH para habilitar el acceso remoto con una clave pública controlada por el atacante.

El objetivo final es desplegar XMRig, un software de minería de criptomonedas, junto con su configuración, direcciones de monedero y pools de minería. Todo el tráfico, incluyendo DNS, se enruta a través de Tor usando socks5h, lo que dificulta la detección y el rastreo.

Este tipo de ataque representa una amenaza crítica para entornos en la nube, especialmente en sectores como tecnología, finanzas y salud, donde la exposición de APIs Docker sin autenticación sigue siendo un punto débil común.

🔍 Indicadores de Compromiso (IoCs):

  • IP de origen del ataque: 198.199.72[.]27
  • Dominio .onion utilizado:
    wtxqf54djhp5pskv2lfyduub5ievxbyvlzjgjopk6hxge5umombr63ad[.]onion
  • Hashes de archivos maliciosos:
  • f185d41df90878555a0328c19b86e7e9663497384d6b3aae80cb93dbbd591740
  • b9b8a041ff1d71aaea1c9d353cc79f6d59ec03c781f34d731c3f00b85dc7ecd8
  • 1bb95a02f1c12c142e4e34014412608668c56502f28520c07cad979fa8ea6455
  • 04b307515dd8179f9c9855aa6803b333adb3e3475a0ecc688b698957f9f750ad

Fuente: https://www.trendmicro.com/en_us/research/25/f/tor-enabled-docker-exploit.html

Si te gusta este contenido, no olvides seguirnos en nuestras redes sociales!:

Tags

Atención!: Hemos usado imagenes que nosotros hemos encontramos como libres, si detectas que alguna imagen te pertenece o consideras que estamos violando algún derecho de Autor avisanos inmediatamente al correo o por Inbox de Facebook y retiraremos la imagen inmediatamente. Solo adjuntanos el link. De ante mano muchas gracias!