En términos generales, tras explotar una vulnerabilidad o una mala configuración, los atacantes ejecutan una serie de scripts de infección que preparan el entorno, eliminan el malware competidor y despliegan un programa de criptominería y el troyano Kinsing que se utiliza para el control remoto. Suelen ir acompañados de un rootkit destinado a ocultar los archivos y procesos de los demás componentes.
Vale la pena señalar que Kinsing se dirige a servidores Windows y Linux/Unix, por lo que tiene diferentes scripts y binarios para ambas plataformas. También existen exploits que pueden quedar como artefactos en los servidores comprometidos.
Aqua divide estos guiones iniciales en Tipo I y Tipo II. Los guiones de tipo I parecen ser más antiguos y estar escritos para shel shell Bourne presente en los sistemas Unix, mientras que el tipo II está escrito para intento (Bourne Again Shell), una versión más nueva de sh que tiene un conjunto ampliado de capacidades. En Windows, los investigadores también han visto que se utilizan scripts de PowerShell en algunas situaciones.
La cantidad de estos guiones varía y su propósito es diferente. Algunos buscan infecciones competidoras para eliminarlas, algunos realizan tareas destinadas a evadir la detección y otros se utilizan para configurar las siguientes etapas del ataque, que implican la descarga de archivos binarios de los llamados servidores de descarga que configuraron los atacantes.
Se eliminan 12 binarios con variaciones del nombre Kinsing.
Los investigadores han identificado 12 archivos binarios que se eliminan durante varios ataques en diferentes etapas. Aquellos con variaciones del nombre «parentesco», como parentesco2 o kinsing_aarch64 y uno llamó b, son todas variantes del malware Kingsing. los llamados xmrig.exe, kdevtmpfsl, X, x2, brazo_xy x2_brazo son variantes de XMRig, un programa de minería de criptomonedas de código abierto configurado para extraer Monero.
Muestras de parentesco