Pesquisadores de segurança cibernética descobriram uma nova variante do malware **Chaos** capaz de atingir implantações de nuvem mal configuradas, marcando uma expansão na infraestrutura de alvos da botnet. "O malware Chaos está cada vez mais visando implantações de nuvem mal configuradas, expandindo-se além de seu foco tradicional em roteadores e dispositivos de borda", disse a **Darktrace** em um novo relatório. ### Chaos: Uma Visão Geral O **Chaos** foi documentado pela primeira vez pela **Lumen Black Lotus Labs** em setembro de 2022. É um malware multiplataforma capaz de atingir ambientes Windows e Linux. Suas capacidades incluem a execução de comandos remotos de shell, o download de módulos adicionais, a propagação para outros hosts por meio de brute-force de chaves SSH, mineração de criptomoedas e o lançamento de ataques de negação de serviço distribuído (DDoS) via HTTP, TLS, TCP, UDP e WebSocket. O malware é avaliado como uma evolução de outro malware DDoS conhecido como **Kaiji**, que visou instâncias Docker mal configuradas. O ator por trás desta operação é atualmente desconhecido, mas a presença de caracteres em chinês e o uso de infraestrutura baseada na China sugerem que o ator de ameaça pode ser de origem chinesa. ### Alvo de Implantações Hadoop A **Darktrace** identificou a nova variante visando sua rede de honeypot no mês passado, especificamente uma instância Hadoop deliberadamente mal configurada que permite a execução remota de código no serviço. O ataque começou com uma requisição HTTP para a implantação Hadoop para criar uma nova aplicação. A aplicação incorporou uma sequência de comandos de shell para recuperar um agente binário do **Chaos** de um servidor controlado pelo atacante ("pan.tenire[.]com"), definir permissões para permitir que todos os usuários o leiam, modifiquem ou executem ("chmod 777") e, em seguida, executar o binário e excluir o artefato do disco para minimizar o rastro forense. ### Conexão com Silver Fox Curiosamente, o domínio usado no ataque foi anteriormente associado a uma campanha de phishing por e-mail realizada pelo grupo de cibercrime chinês **Silver Fox** para entregar documentos falsos e o malware ValleyRAT. Esta campanha foi codinomeada Operation Silk Lure pela **Seqrite Labs** em outubro de 2025. ### Capacidades Atualizadas O binário ELF de 64 bits é uma versão reestruturada e atualizada do **Chaos** que refaz várias de suas funções, mantendo a maior parte de seu conjunto de recursos principais intacto. Uma mudança significativa é a remoção de funções que permitiam que ele se espalhasse via SSH e explorasse vulnerabilidades de roteadores. Em seu lugar, há um novo recurso de proxy SOCKS que permite que o sistema comprometido seja usado para encaminhar tráfego, ocultando assim as verdadeiras origens da atividade maliciosa e tornando mais difícil para os defensores detectarem e bloquearem o ataque. "Além disso, várias funções que se acreditava anteriormente serem herdadas do **Kaiji** também foram alteradas, sugerindo que os atores de ameaça reescreveram o malware ou o refatoraram extensivamente", acrescentou a **Darktrace**. ### Monetização e Ameaças Futuras A adição do recurso de proxy sugere que os atores de ameaça por trás do malware estão buscando monetizar ainda mais a botnet além da mineração de criptomoedas e DDoS-for-hire, e acompanhar seus concorrentes no mercado de cibercrime, oferecendo uma gama diversificada de serviços ilícitos. "Embora o Chaos não seja um malware novo, sua evolução contínua destaca a dedicação dos cibercriminosos em expandir suas botnets e aprimorar as capacidades à sua disposição", concluiu a **Darktrace**. "A recente mudança em botnets como AISURU e Chaos para incluir serviços de proxy como recursos principais demonstra que a negação de serviço não é mais o único risco que essas botnets representam para as organizações e suas equipes de segurança."