Investigadores de ciberseguridad han identificado una nueva campaña maliciosa que aprovecha una vulnerabilidad conocida en el servidor Apache HTTP para distribuir un criptominero llamado Linuxsys.
La falla explotada, catalogada como CVE-2021-41773 con una puntuación CVSS de 7,5, corresponde a una vulnerabilidad de recorrido de directorios en Apache HTTP Server versión 2.4.49. Esta falla crítica puede permitir la ejecución remota de código.
Según un informe de VulnCheck compartido con The Hacker News, los atacantes utilizan sitios web legítimos que han sido previamente comprometidos para propagar el malware, lo que les permite realizar una distribución sigilosa y evitar ser detectados.
La campaña, observada a comienzos de este mes, se origina desde una dirección IP ubicada en Indonesia (103.193.177[.]152) y emplea herramientas como curl o wget para descargar una segunda carga maliciosa desde el dominio "repositorylinux[.]org".
La carga útil utilizada en esta campaña es un script de shell diseñado para descargar el criptominero Linuxsys desde cinco sitios web legítimos distintos. Esto sugiere que los actores de amenazas detrás del ataque lograron comprometer infraestructura de terceros para facilitar la distribución del malware.
“Este método es ingenioso, ya que las víctimas se conectan a servidores legítimos con certificados SSL válidos, lo que reduce significativamente la probabilidad de detección”, explicó VulnCheck. “Además, proporciona una capa de separación con respecto al dominio 'repositorylinux[.]org', ya que el malware en sí no se aloja allí”.
Además del minero, los sitios comprometidos también albergan un script de shell adicional llamado cron.sh, cuya función es asegurar que el minero se ejecute automáticamente tras reinicios del sistema. Una firma de ciberseguridad también detectó en estos mismos sitios dos ejecutables de Windows, lo que sugiere que los atacantes podrían estar ampliando su campaña para incluir también sistemas operativos Microsoft.
Cabe destacar que este mismo minero Linuxsys ya ha sido utilizado anteriormente en campañas que explotaban otras vulnerabilidades críticas, como CVE-2024-36401 (puntuación CVSS: 9.8), una falla en OSGeo GeoServer GeoTools documentada por Fortinet FortiGuard Labs en septiembre de 2024.
Un detalle curioso es que el script de shell desplegado tras la explotación de esa vulnerabilidad se descargaba desde el dominio repositorylinux[.]com, y contenía comentarios escritos en sundanés, un idioma regional de Indonesia. Ese mismo script ha sido detectado circulando desde al menos diciembre de 2021.
“Todo apunta a que se trata de una campaña sostenida en el tiempo”, concluyó VulnCheck. “El atacante ha mantenido una estrategia coherente basada en la explotación de vulnerabilidades conocidas (n-day), el uso de infraestructura comprometida para alojar cargas útiles, y la ejecución de minería de criptomonedas en los sistemas infectados”.
Parte del éxito de esta operación parece residir en la cuidadosa selección de objetivos. Los atacantes evitan deliberadamente honeypots de baja interacción y exigen altos niveles de actividad por parte de la víctima antes de desplegar sus herramientas, lo que les ha permitido evitar la detección durante largos períodos.
Campaña paralela: GhostContainer y Microsoft Exchange
En paralelo a esta campaña, Kaspersky reveló recientemente detalles de otra operación dirigida a entidades gubernamentales en Asia. En este caso, los atacantes explotaron una vulnerabilidad de día N en Microsoft Exchange Server para desplegar una puerta trasera avanzada conocida como GhostContainer.
Se sospecha que la brecha se produjo a través de una vulnerabilidad de ejecución remota de código ya corregida, identificada como CVE-2020-0688 (CVSS: 8.8). Según Kaspersky, esta puerta trasera es “sofisticada y multifuncional”, con capacidad para ampliar sus funcionalidades descargando módulos adicionales.
Una vez instalada, la backdoor otorga a los atacantes control total sobre el servidor Exchange, permitiéndoles ejecutar comandos arbitrarios, cargar código .NET, manipular archivos, ejecutar shellcode y establecer comunicaciones encubiertas mediante un proxy web y un módulo de tunelización.
Se cree que esta actividad forma parte de una campaña de Amenaza Persistente Avanzada (APT) contra organizaciones de alto valor, incluidas empresas tecnológicas en Asia.
A pesar de la sofisticación de los ataques, la identidad de los responsables sigue sin confirmarse. No obstante, los expertos destacan su profundo conocimiento de Microsoft Exchange y su capacidad para transformar herramientas de código abierto en plataformas de espionaje avanzadas.
Una característica notable es que GhostContainer no se comunica directamente con servidores de comando y control. En su lugar, los atacantes interactúan con el servidor comprometido desde el exterior, camuflando sus instrucciones dentro de solicitudes web legítimas a Exchange.
https://thehackernews.com/2025/07/hackers-exploit-apache-http-server-flaw.html
