### Botnet ataca instancias expuestas de ComfyUI para minar criptomonedas y desplegar proxies maliciosos

#### Introducción

Recientemente, se ha detectado una campaña activa dirigida a instancias de ComfyUI expuestas en Internet. ComfyUI, una plataforma ampliamente utilizada para el procesamiento de imágenes mediante modelos de stable diffusion, está siendo explotada por actores maliciosos que buscan reclutar estos sistemas en una botnet orientada tanto a la minería de criptomonedas como a la infraestructura de proxies. Este incidente pone de manifiesto la creciente tendencia de atacar software de código abierto mal gestionado y expuesto en entornos cloud, y representa una amenaza significativa para la seguridad de los sistemas y los datos corporativos.

#### Contexto del Incidente o Vulnerabilidad

ComfyUI ha ganado popularidad en entornos de investigación de IA, arte digital y procesamiento gráfico gracias a su flexibilidad y potencia. Sin embargo, muchos administradores han desplegado instancias en la nube sin las debidas medidas de seguridad, dejando interfaces de gestión y APIs expuestas a Internet sin autenticación robusta. La campaña observada aprovecha precisamente esta falta de endurecimiento de la superficie de ataque.

El vector de ataque crítico es el plugin **ComfyUI-Manager**, que, si se encuentra sin proteger, permite a usuarios remotos instalar y ejecutar nodos arbitrarios en la instancia comprometida. Los atacantes automatizan la detección y explotación de estos sistemas para expandir su botnet de manera rápida y eficiente.

#### Detalles Técnicos

La infraestructura ofensiva utiliza un **scanner Python** personalizado que barre continuamente los rangos de IP principales de los proveedores cloud, en busca de instancias ComfyUI accesibles. Una vez identificada una instancia vulnerable (sin autenticación o con credenciales por defecto en ComfyUI-Manager), el sistema instala nodos maliciosos que actúan como dropper para payloads adicionales.

No se ha asignado aún un **CVE** específico a esta cadena de ataque, aunque el patrón encajaría en las categorías **T1190 (Exploit Public-Facing Application)** y **T1078 (Valid Accounts)** del framework MITRE ATT&CK. El vector de acceso inicial es la explotación de interfaces administrativas expuestas, seguida de ejecución de código arbitrario mediante funcionalidades legítimas de la plataforma.

Entre los **Indicadores de Compromiso (IoC)** detectados destacan:
– Conexiones salientes a pools de minería de Monero (XMR)
– Modificación de archivos de configuración de ComfyUI para persistencia
– Descarga de scripts desde dominios asociados a campañas previas de botnet y proxy (por ejemplo, archivos .sh o .py desde infraestructuras anónimas)
– Instalación de software proxy (SOCKS5) para anonimizar otras actividades maliciosas

En algunos casos, se ha observado el uso de **Metasploit** para la post-explotación y despliegue de cargas útiles adicionales.

#### Impacto y Riesgos

El impacto de la campaña es doble: por un lado, la minería de criptomonedas consume recursos computacionales, degradando el rendimiento de los sistemas y elevando los costes en entornos cloud (casos documentados hasta con un 60% de incremento en uso de CPU y memoria). Por otro lado, el uso de las instancias como nodos proxy puede convertir la infraestructura víctima en facilitadora de otras actividades ilícitas, como ataques de denegación de servicio, exfiltración de datos, spam y movimiento lateral en redes corporativas.

Los riesgos adicionales incluyen:
– Compromiso de datos sensibles procesados en ComfyUI
– Listado de la IP en reputación negativa por actividades maliciosas
– Posible sanción por incumplimiento de normativas de seguridad y privacidad (GDPR, NIS2)

#### Medidas de Mitigación y Recomendaciones

Se recomienda a administradores y responsables de seguridad:
– **Auditar** todas las instancias expuestas de ComfyUI y restringir el acceso a las interfaces administrativas mediante VPN, firewalls o listas blancas de IP.
– **Actualizar** ComfyUI y todos sus plugins a las versiones más recientes, revisando el changelog y aplicando parches de seguridad.
– **Deshabilitar o proteger** ComfyUI-Manager con autenticación fuerte y, preferentemente, integración con sistemas de gestión de identidades corporativos.
– **Monitorizar** logs y tráfico saliente para detectar patrones inusuales (por ejemplo, conexiones a pools de minería o dominios sospechosos).
– Implementar reglas de detección en SIEM y EDR basadas en IoCs conocidos.
– Revisar la facturación cloud ante incrementos anómalos de consumo.

#### Opinión de Expertos

Expertos en ciberseguridad advierten que el uso de plataformas de IA sin una adecuada protección es un vector de ataque cada vez más común. “Las interfaces administrativas expuestas son un objetivo prioritario para los atacantes automatizados. La tendencia a desplegar soluciones open source rápidamente en la nube, a menudo sin hardening, abre la puerta a campañas de botnet y cryptojacking como la que afecta a ComfyUI”, indica un analista senior de un CERT europeo.

#### Implicaciones para Empresas y Usuarios

Para empresas que utilizan ComfyUI en procesos de I+D, la exposición a este vector puede derivar en pérdidas operativas, sanciones regulatorias y daño reputacional, especialmente si se involucra el tratamiento de datos personales bajo el ámbito de GDPR o se afectan procesos críticos bajo NIS2. El uso malicioso de los recursos también puede suponer un impacto económico directo por el incremento en los costes cloud y la necesidad de remediación forense.

#### Conclusiones

La campaña dirigida contra ComfyUI ilustra la importancia de proteger activamente cualquier servicio expuesto a Internet, especialmente en entornos cloud y de código abierto. La automatización de los ataques y la rápida explotación de configuraciones por defecto subrayan la necesidad de adoptar una postura de seguridad por defecto, revisando periódicamente las superficies de ataque y aplicando controles robustos de autenticación y monitorización.

(Fuente: feeds.feedburner.com)