Wed, 08 Apr 2026
← VoltarO malware Chaos agora tem como alvo implantações de nuvem mal configuradas, expandindo-se além de roteadores e dispositivos de borda. Ele pode executar comandos, minerar criptografia e lançar ataques DDoS.
Pesquisadores de segurança cibernética sinalizaram uma nova variante de malware chamada Chaos, que é capaz de atingir implantações de nuvem mal configuradas, marcando uma expansão da infraestrutura de direcionamento da botnet. “O malware Chaos está cada vez mais direcionado a implantações de nuvem mal configuradas, expandindo-se além de seu foco tradicional em roteadores e dispositivos de ponta”, disse a Darktrace em um novo relatório. O caos foi documentado pela primeira vez pelo Lumen Black Lotus Labs em setembro de 2022, descrevendo-o como um malware de plataforma cruzada capaz de atingir ambientes Windows e Linux para executar comandos shell remotos, eliminar módulos adicionais, propagar-se para outros hosts por meio de chaves SSH de força bruta, minerar criptomoedas e lançar ataques distribuídos de negação de serviço (DDoS) via HTTP, TLS, TCP, UDP e WebSocket. O malware é avaliado como uma evolução de outro malware DDoS conhecido como Kaiji, que destacou instâncias Docker mal configuradas.
Atualmente não se sabe quem está por trás da operação, mas a presença de caracteres do idioma chinês e o uso de infraestrutura baseada na China sugerem que o ator da ameaça pode ser de origem chinesa. A Darktrace disse que identificou a nova variante direcionada à sua rede honeypot no mês passado, uma instância do Hadoop deliberadamente mal configurada que permite a execução remota de código no serviço. No ataque detectado pela empresa de segurança cibernética, a intrusão começou com uma solicitação HTTP à implantação do Hadoop para criar um novo aplicativo. O aplicativo, por sua vez, incorporou uma sequência de comandos shell para recuperar um binário do agente Chaos de um servidor controlado pelo invasor ("pan.tenire[.]com"), definir permissões para permitir que todos os usuários leiam, modifiquem ou executem-no ("chmod 777") e, em seguida, executem o binário e excluam o artefato do disco para minimizar a trilha forense.
Um aspecto interessante do ataque é que o domínio foi anteriormente utilizado em conexão com uma campanha de phishing por e-mail realizada pelo grupo chinês de crimes cibernéticos Silver Fox para entregar documentos falsos e malware ValleyRAT. A campanha recebeu o codinome Operation Silk Lure da Seqrite Labs em outubro de 2025. O binário ELF de 64 bits é uma versão reestruturada e atualizada do Chaos que retrabalha várias de suas funções, enquanto mantém intacta a maior parte de seu conjunto de recursos principais. Uma das mudanças mais significativas, no entanto, diz respeito à remoção de funções que permitiam a propagação via SSH e a exploração de vulnerabilidades do roteador.
Em seu lugar está um novo recurso de proxy SOCKS que permite que o sistema comprometido seja usado para transportar tráfego, ocultando assim as verdadeiras origens da atividade maliciosa e dificultando a detecção e o bloqueio do ataque pelos defensores. “Além disso, várias funções que anteriormente se acreditava terem sido herdadas do Kaiji também foram alteradas, sugerindo que os agentes da ameaça reescreveram o malware ou o refatoraram extensivamente”, acrescentou Darktrace. A adição do recurso de proxy é provavelmente um sinal de que os agentes de ameaças por trás do malware estão procurando monetizar ainda mais a botnet, além da mineração de criptomoedas e do DDoS de aluguel, e acompanhar seus concorrentes no mercado de crimes cibernéticos, oferecendo uma gama diversificada de serviços ilícitos. “Embora o Chaos não seja um malware novo, sua evolução contínua destaca a dedicação dos cibercriminosos em expandir suas botnets e aprimorar os recursos à sua disposição”, concluiu a Darktrace.
“A recente mudança em botnets como AISURU e Chaos para incluir serviços de proxy como recursos principais demonstra que a negação de serviço não é mais o único risco que esses botnets representam para as organizações e suas equipes de segurança”.