 |
| Imagen Kaspersky |
Desde marzo de 2025, investigadores de Palo Alto Networks han detectado un aumento significativo en la actividad de la botnet Prometei, una amenaza modular que afecta tanto a sistemas Linux como Windows. Aunque fue descubierta en 2020, su nueva versión demuestra que está en pleno desarrollo activo, con capacidades mejoradas para el robo de credenciales, persistencia y minería de criptomonedas (principalmente Monero).
La variante más reciente se distribuye como un archivo .php disfrazado, que en realidad es un ejecutable ELF de 64 bits comprimido con UPX. Este archivo se descomprime en memoria durante la ejecución, lo que dificulta su detección. Además, utiliza un algoritmo de generación de dominios (DGA) para conectarse con sus servidores de comando y control (C2), lo que le permite evadir bloqueos tradicionales.
Entre sus capacidades destacan:
- Minería de criptomonedas (Monero)
- Robo de credenciales y datos sensibles
- Movimiento lateral en redes comprometidas
- Persistencia mediante servicios y tareas programadas (cron jobs)
- Evasión de análisis estático, gracias a una configuración JSON oculta al final del binario
El malware recolecta información detallada del sistema, incluyendo:
- Procesador (
/proc/cpuinfo) - Placa base (
dmidecode) - Sistema operativo (
/etc/os-release) - Tiempo de actividad (
uptime) - Versión del kernel (
uname -a)
Aunque no se han identificado vínculos con actores estatales, los investigadores afirman que la operación está claramente motivada por fines financieros, y que su infraestructura incluye servidores en Indonesia y configuraciones dinámicas para dificultar el rastreo.
