Se observó una campaña en curso dirigida a clientes de Amazon Web Services (AWS) y que utilizaba credenciales de administración de identidad y acceso (IAM) comprometidas para permitir la minería de criptomonedas.
La actividad, descubierta por primera vez el 2 de noviembre de 2025 por el servicio administrado de detección de amenazas de Amazon, GuardDuty, y sus sistemas automatizados de monitoreo de seguridad, aprovecha técnicas de persistencia nunca antes vistas para obstaculizar la respuesta a incidentes y continuar sin obstáculos, según un nuevo informe publicado por el gigante tecnológico antes de su publicación.
“Trabajando a través de un proveedor de alojamiento externo, el actor de amenazas enumeró rápidamente los recursos y permisos antes de implementar recursos de criptominería en ECS y EC2”, dijo Amazon. “A los 10 minutos del acceso inicial del actor de amenazas, los mineros criptográficos estaban en funcionamiento”.
La cadena de ataque de varias etapas esencialmente comienza cuando el atacante desconocido explota las credenciales de usuario de IAM comprometidas con privilegios similares a los de administrador para iniciar una fase de descubrimiento diseñada para escanear el entorno en busca de cuotas de servicios EC2 y probar sus permisos llamando a la API RunInstances con el indicador “DryRun” configurado.
Esta activación del indicador “DryRun” es crítica e intencional, ya que permite a los atacantes validar sus permisos de IAM sin lanzar instancias, evitando así aumentos de costos y minimizando su rastro forense. El objetivo final de este paso es determinar si la infraestructura de destino es adecuada para implementar el programa minero.
La infección pasa a la siguiente fase cuando el actor de amenazas llama a CreateServiceLinkedRole y CreateRole para crear roles de IAM para Autoscaling Groups y AWS Lambda, respectivamente. Una vez creados los roles, la política AWSLambdaBasicExecutionRole se adjunta al rol de Lambda.
En la actividad observada hasta ahora, se dice que el actor de amenazas creó docenas de clústeres ECS en todo el entorno, en algunos casos más de 50 clústeres ECS en un solo ataque.
“Luego llamaron a RegisterTaskDefinition con una imagen maliciosa de DockerHub yenik65958/secret:user”, dijo Amazon. “Utilizando la misma cadena utilizada para la creación del clúster, el actor creó un servicio y utilizó la definición de la tarea para iniciar la minería criptográfica en los nodos ECS Fargate”.
La imagen de DockerHub, que desde entonces se eliminó, está configurada para ejecutar un script de shell tan pronto como se implementa para iniciar la minería de criptomonedas utilizando el algoritmo de minería RandomVIREL. Además, se ha observado que el actor de amenazas crea grupos de escalamiento automático configurados para escalar de 20 a 999 instancias para explotar las cuotas de servicios de EC2 y maximizar el consumo de recursos.
La actividad de EC2 se centró tanto en instancias de GPU y aprendizaje automático de alto rendimiento como en instancias de computación, almacenamiento y de uso general.
Lo que es único de esta campaña es el uso de la acción ModifyInstanceAttribute con el parámetro enableApiTermination establecido en True, lo que evita que una instancia finalice a través de la consola, la CLI o la API de Amazon EC2. Esto, a su vez, hace que las víctimas tengan que volver a habilitar la terminación de API antes de eliminar los recursos afectados.
“La protección de terminación de instancias puede afectar la capacidad de respuesta a incidentes e interrumpir los controles de remediación automatizados”, dijo Amazon. “Esta técnica demuestra una comprensión de los procedimientos comunes de respuesta de seguridad y la intención de maximizar la duración de las operaciones mineras”.
Esta no es la primera vez que sale a la luz la vulnerabilidad asociada con ModifyInstanceAttribute. En abril de 2024, el investigador de seguridad Harsha Koushik demostró una prueba de concepto (PoC) que detallaba cómo se podía abusar de la acción para hacerse cargo de instancias, exfiltrar credenciales de roles de instancia e incluso tomar el control de toda la cuenta de AWS.
Además, los ataques requieren la creación de una función Lambda que pueda ser invocada por cualquier entidad principal y un usuario de IAM “user-x1x2x3x4” con la política administrada de AWS “AmazonSESFullAccess” adjunta, lo que otorga al atacante acceso completo a través de Amazon Simple Email Service (SES) para probablemente realizar ataques de phishing.
Para protegerse contra la amenaza, Amazon insta a los clientes de AWS a seguir los siguientes pasos:
- Aplique estrictos controles de gestión de identidad y acceso
- Implementar credenciales temporales en lugar de claves de acceso a largo plazo
- Utilice la autenticación multifactor (MFA) para todos los usuarios.
- Aplicar el principio de privilegio mínimo (PoLP) a los principales de IAM para restringir el acceso
- Agregue controles de seguridad de contenedores para buscar imágenes sospechosas
- Monitorear solicitudes de asignación de CPU inusuales en definiciones de tareas de ECS
- Utilice AWS CloudTrail para registrar eventos en los servicios de AWS
- Asegúrese de que AWS GuardDuty esté habilitado para habilitar flujos de trabajo de respuesta automatizados
“El uso programado por parte del actor de amenazas de múltiples servicios informáticos combinados con nuevas técnicas de persistencia representa un avance significativo en los métodos de ataque de criptominería”.
About The Author
