Investigadores de ciberseguridad han alertado sobre una nueva variante del malware Chaos, capaz de atacar despliegues en la nube mal configurados, lo que marca una expansión en la infraestructura objetivo de esta botnet. Según Darktrace, 'el malware Chaos está apuntando cada vez más a despliegues en la nube mal configurados, expandiéndose más allá de su enfoque tradicional en routers y dispositivos de borde'.
Chaos fue documentado por primera vez por Lumen Black Lotus Labs en septiembre de 2022, describiéndolo como un malware multiplataforma capaz de atacar entornos Windows y Linux para ejecutar comandos remotos de shell, descargar módulos adicionales, propagarse a otros hosts mediante fuerza bruta en claves SSH, minar criptomonedas y lanzar ataques de denegación de servicio distribuido (DDoS) a través de HTTP, TLS, TCP, UDP y WebSocket.
Se evalúa que Chaos es una evolución de otro malware DDoS conocido como Kaiji, que atacó instancias Docker mal configuradas. Actualmente no se sabe quién está detrás de la operación, pero la presencia de caracteres en chino y el uso de infraestructura con base en China sugieren que el actor de amenaza podría ser de origen chino.
Darktrace indicó que identificó la nueva variante atacando su red de honeypots el mes pasado, una instancia de Hadoop deliberadamente mal configurada que permite ejecución remota de código. En el ataque detectado, la intrusión comenzó con una solicitud HTTP al despliegue de Hadoop para crear una nueva aplicación que incrustaba una secuencia de comandos de shell para recuperar un binario de Chaos desde un servidor controlado por atacantes ('pan.tenire[.]com'), establecer permisos para que todos los usuarios pudieran leer, modificar o ejecutar el archivo ('chmod 777'), ejecutar el binario y eliminar el artefacto del disco para minimizar el rastro forense.
Un aspecto interesante del ataque es que el dominio ya se había utilizado anteriormente en una campaña de phishing por correo electrónico realizada por el grupo de ciberdelincuencia china Silver Fox para distribuir documentos señuelo y el malware ValleyRAT. Esa campaña fue denominada Operación Silk Lure por Seqrite Labs en octubre de 2025.
El binario ELF de 64 bits es una versión reestructurada y actualizada de Chaos que modifica varias de sus funciones, manteniendo la mayoría de sus capacidades principales. Sin embargo, uno de los cambios más significativos es la eliminación de funciones que permitían propagarse a través de SSH y explotar vulnerabilidades de routers. En su lugar, se ha añadido una nueva función de proxy SOCKS que permite utilizar el sistema comprometido para transportar tráfico, ocultando así los verdaderos orígenes de la actividad maliciosa y dificultando la detección y bloqueo del ataque por parte de los defensores.
'Además, varias funciones que antes se creían heredadas de Kaiji también se han modificado, lo que sugiere que los actores de amenaza han reescrito el malware o lo han refactorizado extensamente', añadió Darktrace. La incorporación de la función de proxy probablemente indica que los actores detrás del malware buscan monetizar aún más la botnet más allá de la minería de criptomonedas y el alquiler de DDoS, y mantenerse al día con sus competidores en el mercado de ciberdelincuencia ofreciendo una variada gama de servicios ilícitos.
'Aunque Chaos no es un malware nuevo, su continua evolución destaca la dedicación de los ciberdelincuentes a expandir sus botnets y mejorar las capacidades a su disposición', concluyó Darktrace. 'El reciente cambio en botnets como AISURU y Chaos para incluir servicios proxy como características principales demuestra que la denegación de servicio ya no es el único riesgo que estas botnets representan para las organizaciones y sus equipos de seguridad'.
