Los actores de amenaza están armando el protocolo de alambre de depuración Java expuesto (JDWP) interfaces para obtener capacidades de ejecución del código e implementar mineros de criptomonedas en hosts comprometidos.
«El atacante utilizó una versión modificada de XMRIG con una configuración codificada», lo que les permite evitar argumentos sospechosos de línea de comandos que a menudo son marcados por los defensores «, los investigadores de Wiz Yaara Shriki y Gili Tikochinski dicho En un informe publicado esta semana. «La carga útil utilizaba los representantes de la piscina minera para ocultar su dirección de billetera de criptomonedas, evitando así que los investigadores giren sobre ella».
La firma de seguridad en la nube, que está siendo adquirida por Google Cloud, dijo que observó la actividad contra sus servidores Honeypot que ejecutan TeamCity, una popular herramienta de integración continua y entrega continua (CI/CD).
JDWP es un protocolo de comunicación utilizado en Java con fines de depuración. Con JDWP, los usuarios pueden aprovechar un depurador para que funcione en un proceso diferente, una aplicación Java, en la misma computadora o en una computadora remota.
Pero dado que JDWP carece de mecanismos de autenticación o control de acceso, exponer el servicio a Internet puede abrir un nuevo vector de ataque que los atacantes pueden abusar como un punto de entrada, lo que permite un control total sobre el proceso de Java.
En pocas palabras, la configuración errónea se puede utilizar para inyectar y ejecutar comandos arbitrarios para configurar la persistencia y finalmente ejecutar cargas útiles maliciosas.
«Si bien JDWP no está habilitado de forma predeterminada en la mayoría de las aplicaciones Java, se usa comúnmente en entornos de desarrollo y depuración», dijo Wiz. «Muchas aplicaciones populares inician automáticamente un servidor JDWP cuando se ejecutan en modo de depuración, a menudo sin hacer que los riesgos sean obvios para el desarrollador. Si se asegura de manera incorrecta o se expuso, esto puede abrir la puerta a las vulnerabilidades de ejecución de código remoto (RCE)».
Algunas de las aplicaciones que pueden lanzar un servidor JDWP cuando están en modo de depuración incluyen TeamCity, Jenkins, Selenium Grid, Elasticsearch, Quarkus, Spring Boot y Apache Tomcat.
Datos de Nobleza espectáculos Más de 2.600 direcciones IP Escaneo para puntos finales JDWP en las últimas 24 horas, de las cuales más de 1,500 direcciones IP son maliciosas y 1.100 direcciones IP se clasifican como sospechosas. La gran mayoría de estas direcciones IP se originan en China, Estados Unidos, Alemania, Singapur y Hong Kong.
En los ataques observados por Wiz, los actores de amenaza aprovechan el hecho de que la máquina virtual Java (JVM) escucha las conexiones de depuradores en el puerto 5005 para iniciar escaneo para los puertos JDWP abiertos en Internet. En la siguiente fase, se envía una solicitud JDWP-HandShake para confirmar si la interfaz está activa y establecer una sesión JDWP.
Una vez que se confirma que el servicio está expuesto e interactivo, los atacantes se mueven para ejecutar un comando curl para obtener y ejecutar un script de shell dropper que realiza una serie de acciones,
- Mata a mineros competidores o cualquier procesamiento de alta CPU
- Deje caer una versión modificada de XMRIG Miner para la arquitectura del sistema apropiada desde un servidor externo («AreMcORNER[.]mundo «) en» ~/.config/logrotate «
- Establezca la persistencia estableciendo trabajos cron para garantizar que la carga útil se vuelva a ser recogida y reinicida después de cada inicio de sesión, reiniciar o un intervalo de tiempo programado
- Elimirse en salida
«Al ser de código abierto, XMRIG ofrece a los atacantes la conveniencia de la fácil personalización, lo que en este caso implicó eliminar toda la lógica de análisis de la línea de comandos y codificar la configuración», dijo Wiz. «Este ajuste no solo simplifica la implementación, sino que también permite que la carga útil imite el proceso de logrotato original de manera más convincente».
Surge una nueva botnet Hppbot
La divulgación se produce como nsfocus detallado Un nuevo malware basado en GO en rápido evolución llamado HPingbot que es capaz de dirigirse a los sistemas de Windows y Linux para alistarlos en una botnet que puede iniciar ataques distribuidos de negación de servicio (DDoS) utilizando HPing3a utilidad disponible libremente para elaborar y enviar paquetes personalizados ICMP/TCP/UDP.
Un aspecto notable del malware es que, a diferencia de otros troyanos que generalmente se derivan de familias de malware de Botnet conocidas como Mirai y Gafgyt, Hpingbot es una tensión completamente nueva. Al menos desde el 17 de junio de 2025, se han emitido unos pocos cientos de instrucciones DDoS, con Alemania, Estados Unidos y Turquía son los principales objetivos.
«Esta es una nueva familia de Botnet construida desde cero, que muestra fuertes capacidades de innovación y eficiencia en el uso de los recursos existentes, como la distribución de cargas a través de la plataforma de almacenamiento de texto en línea y la plataforma de intercambio y el lanzamiento de los ataques DDoS utilizando la herramienta de prueba de red HPing3, que no solo mejora el sigilo, sino que también reduce significativamente los costos operativos y el desarrollo operativo», dijo la compañía china de cibernescutas cibernéticas.
HPingBot aprovecha principalmente las configuraciones SSH débiles, propagadas por medio de un módulo independiente que lleva a cabo ataques de pulverización de contraseña para obtener acceso inicial a los sistemas.
La presencia de comentarios de depuración alemán en el código fuente probablemente indica que la última versión puede estar bajo las pruebas. La cadena de ataque, en pocas palabras, implica usar pastebin como Resolver de caída muerta apuntar a una dirección IP («128.0.118[.]18 «) que, a su vez, se emplea para descargar un script de shell.
El script se usa para detectar la arquitectura de la CPU del host infectado, terminar una versión ya en ejecución del troyano y recuperar la carga útil principal que es responsable de iniciar ataques de inundación DDoS sobre TCP y UDP. Hpingbot también está diseñado para establecer la persistencia y encubrir rastros de infección al limpiar el historial de comando.
En un giro interesante, los atacantes se han observado utilizando nodos controlados por HPingbot para entregar otro componente DDoS basado en GO a partir del 19 de junio que, mientras dependen de los mismos graves de comando y control (C2), evita la pasta y HPing3 para las funciones de ataque de inundación incorporadas basadas en los protocoles UDP y TCP.
Otro aspecto que vale la pena mencionar es que, aunque la versión de Windows no puede usar HPing3 para iniciar ataques DDOS debido al hecho de que la herramienta está instalada utilizando el comando Linux «apt -y instalación«La capacidad del malware para dejar y ejecutar cargas útiles adicionales sugiere la posibilidad de que los actores de amenaza intente ir más allá de la interrupción del servicio para convertirlo en una red de distribución de carga útil.
«Vale la pena señalar que la versión de Windows de HPingbot no puede llamar directamente a HPing3 para lanzar ataques DDoS, pero su actividad es igual de frecuente, lo que indica que los atacantes no solo se centran en lanzar DDoS, sino que tienen más probabilidades de centrarse en su función de descargar y ejecutar cargas útiles arbitrarias».
