Une campagne active a été observée ciblant les instances **ComfyUI** exposées sur Internet, une plateforme populaire de diffusion stable, afin de les enrôler dans un botnet de minage de cryptomonnaies et de proxy. « Un scanner Python spécialement conçu balaie en permanence les principales plages d'adresses IP cloud à la recherche de cibles vulnérables, installant automatiquement des nœuds malveillants via **ComfyUI-Manager** si aucun nœud exploitable n'est déjà présent », a déclaré Mark Ellzey, chercheur en sécurité chez **Censys**, dans un rapport publié lundi. ### Exploitation des mauvaises configurations pour l'exécution de code à distance Le système d'activité d'attaque scanne systématiquement les instances ComfyUI exposées et exploite une mauvaise configuration qui permet l'exécution de code à distance sur des déploiements non authentifiés via des nœuds personnalisés. Ces nœuds personnalisés, destinés à étendre les fonctionnalités de ComfyUI, sont utilisés comme armes. Après une exploitation réussie, les hôtes compromis sont ajoutés à une opération de cryptominage qui mine du Monero via XMRig et du Conflux via lolMiner, ainsi qu'à un botnet Hysteria V2. Les deux sont gérés centralement via un tableau de bord de commande et de contrôle (C2) basé sur Flask.  Les données des plateformes de gestion de la surface d'attaque montrent qu'il existe plus de 1 000 instances ComfyUI accessibles publiquement. Bien que ce ne soit pas un nombre énorme, c'est suffisant pour qu'un acteur de la menace mène des campagnes opportunistes pour générer des gains financiers. ### Découverte et outils de l'attaque **Censys** a découvert la campagne le mois dernier après avoir identifié un répertoire ouvert sur `77.110.96[.]200`, une adresse IP associée à un fournisseur de services d'hébergement de bulletproofing, **Aeza Group**. Le répertoire contenait un ensemble d'outils jusqu'alors non documentés pour mener à bien les attaques. Cela inclut deux outils de reconnaissance pour énumérer les instances ComfyUI exposées sur l'infrastructure cloud, identifier celles qui ont **ComfyUI-Manager** installé, et présélectionner celles qui sont susceptibles à l'exploit d'exécution de code. L'un des deux scripts Python de scan fonctionne également comme un framework d'exploitation qui utilise les nœuds personnalisés de ComfyUI pour obtenir l'exécution de code. Cette technique, dont certains aspects ont été documentés par **Snyk** en décembre 2024, tire parti du fait que certains nœuds personnalisés acceptent du code Python brut en entrée et l'exécutent directement sans nécessiter d'authentification. En conséquence, un attaquant peut scanner les instances ComfyUI exposées à la recherche de familles de nœuds personnalisés spécifiques qui prennent en charge l'exécution de code arbitraire, transformant ainsi efficacement le service en un canal pour la livraison de **payloads** Python contrôlés par l'attaquant. Certaines des familles de nœuds personnalisés que l'attaque recherche particulièrement sont listées ci-dessous : * Vova75Rus/ComfyUI-Shell-Executor * filliptm/ComfyUI_Fill-Nodes * seanlynch/srl-nodes * ruiqutech/ComfyUI-RuiquNodes « Si aucun des nœuds ciblés n'est présent, le scanner vérifie si **ComfyUI-Manager** est installé », a déclaré Censys. « S'il est disponible, il installe lui-même un package de nœud vulnérable, puis tente à nouveau l'exploitation. »  ### Techniques de persistance et d'évasion Il convient de noter que « ComfyUI-Shell-Executor » est un package malveillant créé par l'attaquant pour récupérer un script shell de deuxième étape (« ghost.sh ») à partir de l'adresse IP mentionnée précédemment. Une fois l'exécution du code obtenue, le scanner supprime les preuves de l'exploit en effaçant l'historique des invites de ComfyUI. Une version plus récente du scanner intègre également des mécanismes de persistance qui font que le script shell est téléchargé toutes les six heures et que le flux d'exploitation est réexécuté à chaque démarrage de ComfyUI. Le script shell désactive l'historique du shell, tue les mineurs concurrents, lance le processus de minage et utilise le hook `LD_PRELOAD` pour masquer un processus de surveillance qui garantit que le processus de minage est relancé dans le cas où il serait terminé. De plus, le programme de minage est copié à plusieurs endroits afin que même si le répertoire d'installation principal est effacé, il puisse être lancé à partir de l'un des emplacements de secours. Un troisième mécanisme utilisé par le **malware** pour assurer la persistance est l'utilisation de la commande `chattr +i` pour verrouiller les binaires de minage et les empêcher d'être supprimés, modifiés ou renommés, même par l'utilisateur root. « Il existe également du code dédié ciblant un concurrent spécifique, 'Hisana' (qui est référencé dans tout le code), qui semble être un autre botnet de minage », a expliqué Censys. « Plutôt que de simplement le tuer, ghost.sh écrase sa configuration pour rediriger la sortie de minage d'Hisana vers sa propre adresse de portefeuille, puis occupe le port C2 d'Hisana (10808) avec un écouteur Python factice afin qu'Hisana ne puisse pas redémarrer. » ### Expansion du réseau de commande et de contrôle et de proxy Les hôtes infectés sont commandés au moyen d'un panneau C2 basé sur Flask, qui permet à l'opérateur de pousser des instructions ou de déployer des **payloads** supplémentaires, y compris un script shell qui installe Hysteria V2 dans le but probable de vendre les nœuds compromis comme proxies. Une analyse plus approfondie de l'historique des commandes shell de l'attaquant a révélé une tentative de connexion SSH en tant que root à l'adresse IP `120.241.40[.]237`, qui a été liée à une campagne de ver en cours ciblant les serveurs de bases de données Redis exposés. « Une grande partie des outils de ce référentiel semble avoir été assemblée à la hâte, et les tactiques et techniques globales pourraient initialement suggérer une activité peu sophistiquée », a déclaré Censys. « Spécifiquement, l'opérateur identifie les instances ComfyUI exposées exécutant des nœuds personnalisés, détermine lesquels de ces nœuds exposent des fonctionnalités non sécurisées, puis les utilise comme voie d'accès à l'exécution de code à distance. » « L'infrastructure accessible par l'opérateur soutient davantage l'idée que cette activité fait partie d'une campagne plus large axée sur la découverte et l'exploitation des services exposés, suivie du déploiement d'outils personnalisés pour la persistance, le scan ou la monétisation. » ### Pic récent d'activité des botnets La découverte coïncide avec l'émergence de plusieurs campagnes de botnets ces dernières semaines : * Exploitation des vulnérabilités d'injection de commandes dans n8n (**CVE-2025-68613**) et les routeurs Tenda AC1206 (**CVE-2025-7544**) pour les ajouter à un botnet basé sur Mirai connu sous le nom de **Zerobot**. * Exploitation des vulnérabilités dans Apache ActiveMQ (**CVE-2023-46604**), Metabase (**CVE-2023-38646**) et React Server Components (**CVE-2025-55182** alias React2Shell) pour livrer **Kinsing**, un **malware** persistant utilisé pour le minage de cryptomonnaies et le lancement d'attaques par déni de service distribué (DDoS). * Exploitation d'une vulnérabilité **zero-day** suspectée dans le stockage NAS fnOS pour cibler les systèmes exposés sur Internet et y implanter un **malware** DDoS appelé Netdragon. « NetDragon établit une interface de **backdoor** HTTP sur les appareils compromis, permettant aux attaquants d'accéder et de contrôler à distance les systèmes infectés », a déclaré QiAnXin XLab. « Il falsifie le fichier 'hosts' pour usurper le domaine de mise à jour officiel du système NAS Feiniu. »