Wed, 08 Apr 2026
← VoltarO malware Chaos, anteriormente direcionado a roteadores, agora explora servidores em nuvem Linux mal configurados. A Darktrace observou esta nova variante por meio de seus honeypots CloudyPots em março de 2026.
Chaos, malware baseado em Go, documentado pela primeira vez pelo Black Lotus Labs da Lumen, tem historicamente como alvo roteadores e dispositivos de borda. Uma nova variante observada em março de 2026 mostra o malware operando contra servidores em nuvem Linux mal configurados, uma categoria de infraestrutura que a botnet não havia priorizado anteriormente. A equipe de pesquisa de malware da Darktrace documentou o comprometimento por meio do programa CloudyPots, uma rede global de honeypots que a empresa administra para capturar o comportamento do invasor em uma variedade de serviços e plataformas em nuvem. Um honeypot nessa rede executa o Apache Hadoop, uma estrutura de processamento de dados distribuído de código aberto, deliberadamente mal configurada para permitir a execução remota de código.
Essa configuração incorreta deu aos invasores uma posição segura e deu aos pesquisadores uma visão documentada do malware atualizado. Como o ataque se desenrolou A intrusão começou com uma solicitação HTTP ao endpoint do gerenciador de recursos da implantação do Hadoop. A solicitação definiu um novo aplicativo e incorporou uma sequência de comandos shell. Esses comandos extraíram um binário do agente Chaos de um servidor controlado pelo invasor, definiram permissões, executaram o binário e, em seguida, excluíram-no do disco.
A etapa de exclusão limita a recuperação forense após a execução. A infecção inicial sendo entregue ao endpoint inseguro (Fonte: Darktrace) O binário foi veiculado pelo pan[.]tenire[.]com, um domínio anteriormente vinculado à Operação Silk Lure, uma campanha separada que distribuiu o trojan de acesso remoto ValleyRAT por meio de anexos maliciosos de candidaturas de emprego. Essa campanha também continha extensas sequências em língua chinesa ao longo de suas etapas. O que mudou no malware O novo exemplo é um binário ELF de 64 bits compilado para Linux x86-64.
Isso marca um afastamento das variantes anteriores do Chaos, que tinham como alvo as arquiteturas ARM, MIPS e PowerPC comuns em roteadores de consumo. O namespace interno foi reestruturado e várias funções foram reescritas ou removidas, incluindo o espalhador de força bruta SSH e certas rotinas de exploração de vulnerabilidades anteriormente herdadas de Kaiji, o botnet do qual se acredita que o Chaos tenha evoluído. O conjunto principal de recursos permanece intacto. O malware estabelece persistência usando o systemd e armazena um script keep-alive no disco.
As funções de ataque DDoS estão presentes e suportam os protocolos HTTP, TLS, TCP, UDP e WebSocket. “Uma nova função do malware é um proxy SOCKS. Quando o malware recebe um comando StartProxy do servidor de comando e controle (C2), ele começará a escutar uma porta TCP controlada pelo invasor e operará como um proxy SOCKS5. Isso permite que o invasor roteie seu tráfego através do servidor comprometido e o use como proxy.
Esse recurso oferece várias vantagens: permite que o autor da ameaça lance ataques a partir da conexão de Internet da vítima, fazendo com que a atividade pareça originar-se da vítima e não do invasor, e ele permite que o invasor entre em redes internas acessíveis apenas a partir do servidor comprometido”, explicou Nathaniel Bill, engenheiro de pesquisa de malware da Darktrace. O servidor de comando e controle é acessado por meio de um domínio incorporado, gmserver[.]osfc[.]org[.]cn, que no momento da análise era resolvido para um endereço IP geolocalizado em Hong Kong. A funcionalidade do proxy sinaliza uma mudança na economia das botnets A pesquisa da Darktrace observa que outra botnet DDoS, a Aisuru, foi observada anteriormente girando para vender acesso de proxy a outros atores de ameaças. A adição de funcionalidade equivalente no Chaos sugere que os operadores de botnets estão a tratar os serviços de proxy como um fluxo de receitas, juntamente com o DDoS de aluguer, expandindo a gama de atividades criminosas que estas redes podem suportar.
A adição do recurso de proxy altera o perfil de risco das organizações que executam cargas de trabalho na nuvem. Um servidor comprometido registrado em uma botnet proxy pode ser usado para contornar limites de taxa, mascarar as origens do invasor durante preenchimento de credenciais ou campanhas de reconhecimento e permitir movimento lateral em ambientes que compartilham relações de confiança de rede com o host infectado. O problema de configuração incorreta da nuvem O ataque foi bem-sucedido porque o serviço visado estava acessível e protegido de forma inadequada. O gerenciador de recursos do Hadoop, quando exposto à Internet sem controles de autenticação, permite que qualquer pessoa envie aplicativos e execute códigos em nós de cluster.
Este é um risco de configuração conhecido e o padrão se generaliza para outras interfaces de gerenciamento e serviços administrativos implantados rotineiramente em ambientes de nuvem. A análise da Darktrace atribui suspeita de origem chinesa ao Chaos com base em strings em chinês no binário do malware e nos indicadores de localidade zh-CN, uma caracterização consistente com a pesquisa original da Lumen que documentou o malware. As conexões de infraestrutura entre o servidor de entrega e a campanha de distribuição do ValleyRAT acrescentam peso circunstancial a essa avaliação, embora a atribuição definitiva continue difícil. Webinar: O Verdadeiro Estado de Segurança 2026