AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

**Detectados los grupos Soco404 y Koske: nuevas campañas de cryptojacking explotan vulnerabilidades y malas configuraciones en entornos cloud**

admin

### 1. Introducción

En las últimas semanas, los equipos de threat hunting de las firmas especializadas en seguridad cloud Wiz y Aqua han identificado y documentado dos campañas de malware activas que aprovechan vulnerabilidades y configuraciones deficientes en infraestructuras en la nube para la distribución de mineros de criptomonedas. Estos clusters de actividad, bautizados como Soco404 y Koske, están dirigidos tanto a sistemas Linux como Windows y plantean desafíos técnicos de primer nivel para los equipos de defensa de entornos cloud. Analizamos en profundidad los vectores de ataque, técnicas empleadas, indicadores de compromiso y el impacto potencial de estas operaciones.

### 2. Contexto del Incidente o Vulnerabilidad

El auge de las infraestructuras cloud híbridas y multi-cloud ha incrementado la superficie de exposición a amenazas, sobre todo cuando se combinan vulnerabilidades conocidas y malas prácticas en la gestión de credenciales, configuración de servicios o segmentación de red. Tanto Soco404 como Koske han focalizado sus esfuerzos en explotar debilidades específicas de estos entornos, principalmente mediante la detección de instancias con configuraciones por defecto, puertos expuestos o software sin parchear.

Las campañas se han desplegado a escala global, con especial incidencia en Europa y Norteamérica, y han afectado principalmente a plataformas que ejecutan workloads críticos en la nube, incluidos servidores CI/CD, nodos Kubernetes y máquinas virtuales de propósito general.

### 3. Detalles Técnicos: CVE, Vectores de Ataque y TTP

#### Soco404

Soco404 se caracteriza por su capacidad multiplataforma y el uso de técnicas de evasión avanzadas. El vector de entrada más frecuente es la explotación de vulnerabilidades conocidas en servicios expuestos, como Apache Hadoop YARN (CVE-2018-20250), Jenkins (CVE-2019-1003000), y Docker API expuesta sin autenticación. Tras acceder al sistema, el malware descarga cargas útiles específicas para Linux o Windows, identificando el sistema operativo mediante scripts personalizados.

El grupo utiliza scripts bash/powershell y ejecuta binarios ofuscados de XMRig, el popular minero de Monero, modulando el uso de CPU para pasar inadvertidos. Además, se han detectado técnicas de persistencia mediante cron jobs, servicios de Windows y modificaciones en archivos rc.local.

A nivel MITRE ATT&CK, Soco404 emplea técnicas T1190 (Exploitation of Remote Services), T1059 (Command and Scripting Interpreter) y T1070 (Indicator Removal on Host). Se han identificado IoCs como dominios maliciosos, hashes de archivos y direcciones IP de C2 en infraestructuras bulletproof hosting.

#### Koske

Koske adopta un enfoque similar pero centrado en contenedores y orquestadores Kubernetes. El principal vector de ataque es el acceso a APIs de Kubernetes expuestas (CVE-2020-8554) y la explotación de permisos excesivos en ServiceAccounts. Tras comprometer el cluster, el atacante despliega pods maliciosos que ejecutan mineros, suelen ocultar la actividad mediante la manipulación del runtime (containerd o Docker) y utilizan técnicas de living off the land para evadir los controles de seguridad.

Koske automatiza la lateralización mediante scripts que buscan credenciales en variables de entorno y archivos de configuración, expandiendo el alcance lateral dentro del cluster.

### 4. Impacto y Riesgos

El impacto directo se traduce en consumo intensivo de recursos de CPU y memoria, lo que puede degradar gravemente el rendimiento de servicios críticos y generar costes imprevistos en plataformas cloud bajo modelos de pago por uso. Según datos de Wiz, hasta un 21% de los entornos cloud analizados presentaban configuraciones susceptibles de explotación por Soco404, mientras que Aqua cifra en un 18% los clusters Kubernetes mal configurados vulnerables a Koske.

A nivel de riesgo, más allá del cryptojacking, estos accesos pueden facilitar movimientos laterales, robo de credenciales, instalación de backdoors y otras amenazas persistentes avanzadas (APT), potencialmente graves bajo el paraguas regulatorio del GDPR y la inminente NIS2 europea.

### 5. Medidas de Mitigación y Recomendaciones

Se recomienda:

– Actualización y parcheo inmediato de servicios expuestos (Jenkins, Hadoop, Kubernetes, Docker, etc.).
– Restricción de acceso por red (firewall, VPN) a APIs sensibles y puertos de administración.
– Revisión y refuerzo de políticas RBAC y ServiceAccounts en Kubernetes.
– Implementación de escáneres de configuración y seguridad (Kube-bench, Trivy, Wiz, Aqua CSPM).
– Monitorización de uso anómalo de recursos y análisis de logs para detección proactiva (Sysmon, Falco, EDR).
– Rotación periódica de credenciales y uso de herramientas de gestión de secretos.
– Pruebas de pentesting frecuente y simulacros de incidentes para validar la resiliencia.

### 6. Opinión de Expertos

Según Daniel García, CISO de una multinacional tecnológica, “la profesionalización de los ataques de cryptojacking en la nube evidencia la necesidad de madurar los programas de seguridad cloud, incorporando frameworks como el CIS Controls y Zero Trust, y monitorizando no solo eventos de red, sino también la telemetría de recursos y procesos.”

Por su parte, analistas de Wiz subrayan que “la automatización de los ataques y la reutilización de exploits conocidos sitúan a las malas configuraciones como la mayor amenaza actual, por encima incluso de las vulnerabilidades zero-day.”

### 7. Implicaciones para Empresas y Usuarios

El coste económico del cryptojacking puede ser significativo: según estudios recientes, el 40% de las empresas afectadas han experimentado incrementos de hasta un 30% en sus facturas cloud tras una infección. Además, la exposición a sanciones regulatorias bajo GDPR o NIS2 por falta de diligencia en la protección de datos personales o servicios esenciales multiplica el riesgo reputacional.

Para los usuarios finales, aunque el impacto directo es menor, los servicios degradados y la potencial exposición de datos son consecuencias tangibles.

### 8. Conclusiones

Las campañas Soco404 y Koske representan una evolución preocupante en las amenazas cloud, combinando técnicas automatizadas y multiplataforma con una explotación masiva de configuraciones inseguras y vulnerabilidades conocidas. La respuesta requiere una aproximación integral y proactiva, articulada en torno a la gestión de la configuración, la monitorización continua y la formación de los equipos técnicos.

(Fuente: feeds.feedburner.com)