Investigadores de ciberseguridad han descubierto una nueva variante del malware **Chaos** capaz de atacar despliegues en la nube mal configurados, marcando una expansión de la infraestructura de objetivos de la botnet. "El malware Chaos está atacando cada vez más despliegues en la nube mal configurados, expandiéndose más allá de su enfoque tradicional en routers y dispositivos de borde", dijo **Darktrace** en un nuevo informe. ### Chaos: Una Visión General **Chaos** fue documentado por primera vez por **Lumen Black Lotus Labs** en septiembre de 2022. Es un malware multiplataforma capaz de atacar entornos Windows y Linux. Sus capacidades incluyen la ejecución de comandos remotos de shell, la descarga de módulos adicionales, la propagación a otros hosts mediante fuerza bruta de claves SSH, la minería de criptomonedas y el lanzamiento de ataques de denegación de servicio distribuido (DDoS) a través de HTTP, TLS, TCP, UDP y WebSocket. Se evalúa que el malware es una evolución de otro malware DDoS conocido como **Kaiji**, que se ha enfocado en instancias de Docker mal configuradas. El actor detrás de esta operación es actualmente desconocido, pero la presencia de caracteres en chino y el uso de infraestructura con base en China sugieren que el actor de la amenaza podría ser de origen chino. ### Ataque a Despliegues de Hadoop **Darktrace** identificó la nueva variante atacando su red de honeypots el mes pasado, específicamente una instancia de Hadoop deliberadamente mal configurada que permite la ejecución remota de código en el servicio. El ataque comenzó con una solicitud HTTP al despliegue de Hadoop para crear una nueva aplicación. La aplicación incrustó una secuencia de comandos de shell para recuperar un binario del agente **Chaos** de un servidor controlado por el atacante ("pan.tenire[.]com"), establecer permisos para permitir que todos los usuarios lo lean, modifiquen o ejecuten ("chmod 777"), y luego ejecutar el binario y eliminar el artefacto del disco para minimizar el rastro forense. ### Conexión con Silver Fox Curiosamente, el dominio utilizado en el ataque se asoció previamente con una campaña de **phishing** por correo electrónico llevada a cabo por el grupo de cibercrimen chino **Silver Fox** para entregar documentos señuelo y el malware ValleyRAT. Esta campaña fue denominada Operación Silk Lure por **Seqrite Labs** en octubre de 2025. ### Capacidades Actualizadas El binario ELF de 64 bits es una versión reestructurada y actualizada de **Chaos** que rehace varias de sus funciones, manteniendo intacta la mayor parte de su conjunto de características principales. Un cambio significativo es la eliminación de funciones que le permitían propagarse a través de SSH y explotar vulnerabilidades de routers. En su lugar, se encuentra una nueva función de proxy SOCKS que permite que el sistema comprometido se utilice para transportar tráfico, ocultando así los verdaderos orígenes de la actividad maliciosa y dificultando que los defensores detecten y bloqueen el ataque. "Además, varias funciones que anteriormente se creía que se heredaban de **Kaiji** también han sido modificadas, lo que sugiere que los actores de la amenaza han reescrito el malware o lo han refactorizado extensamente", agregó **Darktrace**. ### Monetización y Amenazas Futuras La adición de la función de proxy sugiere que los actores de la amenaza detrás del malware buscan monetizar aún más la botnet más allá de la minería de criptomonedas y el DDoS-as-a-service, y mantenerse al día con sus competidores en el mercado del cibercrimen ofreciendo una diversa gama de servicios ilícitos. "Si bien Chaos no es un malware nuevo, su continua evolución resalta la dedicación de los ciberdelincuentes para expandir sus botnets y mejorar las capacidades a su disposición", concluyó **Darktrace**. "El reciente cambio en botnets como AISURU y Chaos para incluir servicios de proxy como características principales demuestra que la denegación de servicio ya no es el único riesgo que estas botnets representan para las organizaciones y sus equipos de seguridad."