Cybersicherheitsforscher haben eine neue Variante der **Chaos**-Malware entdeckt, die fehlkonfigurierte Cloud-Bereitstellungen treffen kann, was eine Erweiterung der Zielinfrastruktur des Botnetzes darstellt. "Chaos-Malware zielt zunehmend auf fehlkonfigurierte Cloud-Bereitstellungen ab und erweitert sich über ihren traditionellen Fokus auf Router und Edge-Geräte hinaus", sagte **Darktrace** in einem neuen Bericht. ### Chaos: Ein Überblick **Chaos** wurde erstmals im September 2022 von **Lumen Black Lotus Labs** dokumentiert. Es handelt sich um eine plattformübergreifende Malware, die Windows- und Linux-Umgebungen anvisieren kann. Zu ihren Fähigkeiten gehören das Ausführen von Remote-Shell-Befehlen, das Ablegen zusätzlicher Module, die Verbreitung auf andere Hosts durch Brute-Force-Angriffe auf SSH-Schlüssel, das Mining von Kryptowährungen und das Starten von Distributed-Denial-of-Service (DDoS)-Angriffen über HTTP, TLS, TCP, UDP und WebSocket. Die Malware wird als Weiterentwicklung einer anderen DDoS-Malware namens **Kaiji** eingeschätzt, die fehlkonfigurierte Docker-Instanzen ins Visier genommen hat. Der Akteur hinter dieser Operation ist derzeit unbekannt, aber die Präsenz chinesischer Schriftzeichen und die Nutzung chinesischer Infrastruktur deuten darauf hin, dass der Bedrohungsakteur chinesischer Herkunft sein könnte. ### Ziel von Hadoop-Bereitstellungen **Darktrace** identifizierte die neue Variante, die letzten Monat ihr Honeypot-Netzwerk ins Visier nahm, insbesondere eine absichtlich fehlkonfigurierte Hadoop-Instanz, die die Ausführung von Remote-Code auf dem Dienst ermöglicht. Der Angriff begann mit einer HTTP-Anfrage an die Hadoop-Bereitstellung, um eine neue Anwendung zu erstellen. Die Anwendung enthielt eine Reihe von Shell-Befehlen, um ein **Chaos**-Agenten-Binary von einem vom Angreifer kontrollierten Server ("pan.tenire[.]com") abzurufen, Berechtigungen so einzustellen, dass alle Benutzer es lesen, ändern oder ausführen können ("chmod 777"), und dann das Binary auszuführen und das Artefakt von der Festplatte zu löschen, um die forensische Spur zu minimieren. ### Verbindung zu Silver Fox Interessanterweise wurde die im Angriff verwendete Domain zuvor mit einer E-Mail-Phishing-Kampagne der chinesischen Cybercrime-Gruppe **Silver Fox** in Verbindung gebracht, um Lock-Dokumente und ValleyRAT-Malware zu verbreiten. Diese Kampagne wurde von **Seqrite Labs** im Oktober 2025 unter dem Codenamen Operation Silk Lure geführt. ### Aktualisierte Fähigkeiten Das 64-Bit-ELF-Binary ist eine umstrukturierte und aktualisierte Version von **Chaos**, die mehrere seiner Funktionen überarbeitet, während der Großteil seines Kernfunktionsumfangs erhalten bleibt. Eine bedeutende Änderung ist die Entfernung von Funktionen, die es ihm ermöglichten, sich über SSH zu verbreiten und Router-Schwachstellen auszunutzen. An ihre Stelle tritt eine neue SOCKS-Proxy-Funktion, die es dem kompromittierten System ermöglicht, für die Weiterleitung von Datenverkehr genutzt zu werden, wodurch die wahren Ursprünge bösartiger Aktivitäten verschleiert und es für Verteidiger schwieriger wird, den Angriff zu erkennen und zu blockieren. "Darüber hinaus wurden mehrere Funktionen, von denen man zuvor annahm, dass sie von **Kaiji** übernommen wurden, ebenfalls geändert, was darauf hindeutet, dass die Bedrohungsakteure die Malware entweder neu geschrieben oder sie extensiv refaktorisiert haben", fügte **Darktrace** hinzu. ### Monetarisierung und zukünftige Bedrohungen Die Hinzufügung der Proxy-Funktion deutet darauf hin, dass die hinter der Malware stehenden Bedrohungsakteure versuchen, das Botnet über Kryptowährungs-Mining und DDoS-for-hire hinaus weiter zu monetarisieren und mit ihren Konkurrenten auf dem Cybercrime-Markt Schritt zu halten, indem sie eine vielfältige Palette illegaler Dienste anbieten. "Obwohl Chaos keine neue Malware ist, unterstreicht seine fortlaufende Entwicklung das Engagement von Cyberkriminellen, ihre Botnetze zu erweitern und die ihnen zur Verfügung stehenden Fähigkeiten zu verbessern", schloss **Darktrace**. "Die jüngste Verlagerung von Botnetzen wie AISURU und Chaos hin zur Aufnahme von Proxy-Diensten als Kernfunktionen zeigt, dass Denial-of-Service nicht mehr das einzige Risiko darstellt, das diese Botnetze für Organisationen und ihre Sicherheitsteams bergen."