Los actores de amenaza están armando interfaces de protocolo de cable de depuración Java expuesto (JDWP) para obtener capacidades de ejecución de código e implementar mineros de criptomonedas en hosts comprometidos.
«El atacante utilizó una traducción modificada de XMRIG con una configuración codificada», lo que les permite evitar argumentos de recorrido de comandos sospechosos que a menudo son marcados por los defensores «, dijeron los investigadores de Wiz Yaara Shriki y Gili Tikochinski en un noticia publicado esta semana». La carga de suscripción utilizada por mineros de la piscina oculta su dirección de cado de la criptomonedización, allí evitando los inversionistas de los inversionistas de los inversionistas.
La firma de seguridad en la abundancia, que está siendo adquirida por Google Cloud, dijo que observó la actividad contra sus servidores Honeypot que ejecutan TeamCity, una popular útil de integración continua y entrega continua (CI/CD).
JDWP es un protocolo de comunicación utilizado en Java con fines de depuración. Con JDWP, los usuarios pueden exprimir un depurador para que funcione en un proceso diferente, una aplicación Java, en la misma computadora o en una computadora remota.
Pero hexaedro que JDWP carece de mecanismos de autenticación o control de golpe, exponer el servicio a Internet puede desobstruir un nuevo vector de ataque que los atacantes pueden forzar como un punto de entrada, lo que permite un control total sobre el proceso de Java.
En pocas palabras, la configuración errónea se puede utilizar para inyectar y ejecutar comandos arbitrarios para configurar la persistencia y finalmente ejecutar cargas efectos maliciosas.
«Si perfectamente JDWP no está preparado de forma predeterminada en la mayoría de las aplicaciones Java, se usa comúnmente en entornos de expansión y depuración», dijo Wiz. «Muchas aplicaciones populares inician automáticamente un servidor JDWP cuando se ejecutan en modo de depuración, a menudo sin hacer que los riesgos sean obvios para el desarrollador. Si se asegura de forma incorrecta o se expuso, esto puede desobstruir la puerta a las vulnerabilidades de ejecución de código remoto (RCE)».
Algunas de las aplicaciones que pueden exhalar un servidor JDWP cuando están en modo de depuración incluyen TeamCity, Jenkins, Selenium Grid, Elasticsearch, Quarkus, Spring Boot y Apache Tomcat.
Los datos de Greynoise muestran más de 2.600 direcciones IP escaneando para puntos finales JDWP en las últimas 24 horas, de las cuales más de 1,500 direcciones IP son maliciosas y 1.100 direcciones IP se clasifican como sospechosas. La gran mayoría de estas direcciones IP se originan en China, Estados Unidos, Alemania, Singapur y Hong Kong.
En los ataques observados por Wiz, los actores de amenaza aprovechan el hecho de que la máquina posible Java (JVM) audición las conexiones de depuradores en el puerto 5005 para iniciar escaneo para los puertos JDWP abiertos en Internet. En la subsiguiente grado, se envía una solicitud JDWP-HandShake para confirmar si la interfaz está activa y establecer una sesión JDWP.
Una vez que se confirma que el servicio está expuesto e interactivo, los atacantes se mueven para ejecutar un comando curl para obtener y ejecutar un script de shell dropper que realiza una serie de acciones,
- Mata a mineros competidores o cualquier procesamiento de entrada CPU
- Deje caer una traducción modificada de XMRIG Miner para la edificación del sistema apropiada desde un servidor extranjero («AtarmCorner (.) World») en «~/.config/Logrotate»
- Establezca la persistencia estableciendo trabajos cron para certificar que la carga útil se vuelva a ser recogida y reinicida luego de cada inicio de sesión, reiniciar o un intervalo de tiempo programado
- Elimirse en salida
«Al ser de código descubierto, XMRIG ofrece a los atacantes la conveniencia de la obediente personalización, lo que en este caso implicó eliminar toda la dialéctica de examen de la recorrido de comandos y codificar la configuración», dijo Wiz. «Este ajuste no solo simplifica la implementación, sino que además permite que la carga útil imite el proceso de logrotato innovador de forma más convincente».
Surge una nueva botnet Hppbot
La divulgación se produce cuando NSFOCUS detalló un nuevo malware basado en GO que evoluciona rápidamente llamado HPingBot que es capaz de dirigirse a los sistemas de Windows y Linux para conectarlos a una botnet que puede iniciar ataques distribuidos de incapacidad de servicio (DDOS) utilizando paquetes HPPing3, una utilidad para navegar gratis para la elaboración de la artesanía y emisión de paquetes ICMP/TCP/TCP/TCP/TCP/TCP.
Un aspecto sobresaliente del malware es que, a diferencia de otros troyanos que generalmente se derivan de familias de malware de Botnet conocidas como Mirai y Gafgyt, Hpingbot es una tensión completamente nueva. Al menos desde el 17 de junio de 2025, se han emitido unos pocos cientos de instrucciones DDoS, con Alemania, Estados Unidos y Turquía son los principales objetivos.
«Esta es una nueva comunidad de Botnet construida desde cero, que muestra fuertes capacidades de innovación y eficiencia en el uso de los medios existentes, como la distribución de cargas a través de la plataforma de almacenamiento de texto en recorrido y la plataforma de intercambio y el tiro de los ataques DDoS utilizando la útil de prueba de red HPing3, que no solo alivio el sigilo, sino que además reduce significativamente los costos operativos y el expansión activo», dijo la compañía china de cibernescutas cibernéticas.
HPingBot aprovecha principalmente las configuraciones SSH débiles, propagadas por medio de un módulo independiente que lleva a lugar ataques de pulverización de contraseña para obtener golpe original a los sistemas.
La presencia de comentarios de depuración teutónico en el código fuente probablemente indica que la última traducción puede estar bajo las pruebas. La esclavitud de ataque, en pocas palabras, implica el uso de pastebin como resolución de caída muerta para señalar una dirección IP («128.0.118 (.) 18») que, a su vez, se emplea para descargar un script de shell.
El script se usa para detectar la edificación de la CPU del host infectado, terminar una traducción ya en ejecución del troyano y recuperar la carga útil principal que es responsable de iniciar ataques de inundación DDoS sobre TCP y UDP. Hpingbot además está diseñado para establecer la persistencia y encubrir rastros de infección al extirpar el historial de comando.
En un construcción interesante, los atacantes se han observado utilizando nodos controlados por HPingbot para entregar otro componente DDoS basado en GO a partir del 19 de junio que, mientras dependen de los mismos graves de comando y control (C2), evita la pasta y HPing3 para las funciones de ataque de inundación incorporadas basadas en los protocoles UDP y TCP.
Otro aspecto que vale la pena mencionar es que, aunque la traducción de Windows no puede usar HPing3 para iniciar ataques DDoS oportuno al hecho de que la útil está instalada utilizando el comando Linux «APT -Y Install», la capacidad del malware para soltar y ejecutar cargas efectos adicionales sugere la posibilidad de que los actores de amenaza intenten ir más allá de la interrupción del servicio para convertirlo en una red de distribución de carga útil.
«Vale la pena señalar que la traducción de Windows de HPingbot no puede tildar directamente a HPing3 para exhalar ataques DDoS, pero su actividad es igual de frecuente, lo que indica que los atacantes no solo se centran en exhalar DDoS, sino que tienen más probabilidades de centrarse en su función de descargar y ejecutar cargas efectos arbitrarias».
