Öffentlich erreichbare ComfyUI-Instanzen werden derzeit gezielt von einem Botnet angegriffen, das Fehlkonfigurationen und unsichere Custom Nodes ausnutzt. Angreifer verschaffen sich damit Remote Code Execution, installieren Kryptominer und binden kompromittierte Systeme in ein Botnetz ein, das sowohl Kryptowährungen schürft als auch als anonymer Proxy-Dienst missbraucht wird.
Angriff auf ComfyUI: Wie das Botnet offene KI-Interfaces missbraucht
Automatisches Scanning von Cloud-IP-Adressen
Nach Analysen von Censys setzt die Kampagne einen spezialisierten Python-Scanner ein, der kontinuierlich große IP-Bereiche gängiger Cloud-Provider durchsucht. Ziel sind ohne Authentifizierung erreichbare ComfyUI-Weboberflächen, wie sie häufig zu Test- oder Demo-Zwecken direkt ins Internet exponiert werden.
Wird eine solche Instanz gefunden, prüft das Tool automatisiert, ob verwundbare Custom Nodes oder der ComfyUI-Manager verfügbar sind. Externe Attack-Surface-Management-Dienste schätzen, dass derzeit über 1.000 ComfyUI-Instanzen öffentlich zugänglich sind. Diese Zahl ist im Vergleich zu klassischen Webservern niedrig, reicht für opportunistische Massenkampagnen mit stabilen Einnahmen aus Kryptomining und Proxy-Verkäufen jedoch völlig aus.
Remote Code Execution über Custom Nodes und ComfyUI-Manager
Die zentrale Schwachstelle liegt in der Implementierung bestimmter Custom Nodes: Einige dieser Erweiterungen akzeptieren beliebigen Python-Code als Eingabe und führen ihn ohne jede Authentifizierung aus. Ein eigentlich für Bildgenerierung gedachtes Interface verwandelt sich damit in eine bequeme RCE-Schnittstelle für beliebige schädliche Python-Payloads.
Der Scanner testet ein Set bekannter Node-Familien, die solche Funktionen bereitstellen. Falls keine passenden Custom Nodes gefunden werden, prüft er, ob ComfyUI-Manager installiert ist. Ist dies der Fall, installieren Angreifer selbst einen verwundbaren oder direkt bösartigen Node und starten den Exploit-Versuch erneut.
Ein Schlüsselbaustein ist das gezielt entwickelte Paket „ComfyUI-Shell-Executor“. Dieser schädliche Node lädt im nächsten Schritt das Shell-Skript ghost.sh von einem „bulletproof“ gehosteten Server (IP 77.110.96[.]200, Provider Aeza Group). Nach erfolgreicher Ausführung werden zudem die ComfyUI-Request-Logs bereinigt, um forensische Analysen zu erschweren.
Von ghost.sh zu XMRig und lolMiner: komplette Angriffskette
Das Skript ghost.sh übernimmt anschließend die vollständige Kompromittierung und Persistenz. Es deaktiviert die Shell-Historie, beendet konkurrierende Miner-Prozesse und installiert eine eigene Mining-Infrastruktur. Die Operatoren setzen auf Monero-Mining mit XMRig und Conflux-Mining mit lolMiner, um ihre Einnahmen zu diversifizieren und Erkennungsrisiken zu streuen.
Zur Tarnung und Stabilität nutzt das Botnet mehrere Techniken. Über LD_PRELOAD wird eine eigene Bibliothek in Prozesse injiziert. Sie versteckt unter anderem einen Watchdog, der den Miner überwacht und bei Beendigung automatisch neu startet. Für Administratoren wirkt das System dadurch unauffälliger, da Standard-Monitoring-Tools manipulierte Prozesslisten sehen.
Zusätzlich werden die Miner-Binaries in mehreren Verzeichnissen abgelegt. Selbst wenn ein Administrator einen Teil der Dateien entfernt, bleibt typischerweise mindestens eine Kopie aktivierbar. Die Dateien werden mit dem Attribut chattr +i als unveränderlich markiert. Ohne dieses Flag gezielt zu entfernen, lassen sie sich weder löschen noch überschreiben – selbst mit Root-Rechten.
Neuere Versionen des Scanners sind resistenter gegenüber Neustarts. ghost.sh wird alle sechs Stunden erneut geladen, und die Exploit-Kette wird bei jedem Start von ComfyUI automatisch angestoßen. Dadurch bleibt der Zugriff auch nach Wartungsarbeiten oder Reboots oft unbemerkt bestehen.
C2-Infrastruktur, Hysteria V2 und Kampf um Ressourcen
Die kompromittierten Hosts werden über ein zentrales C2-Panel auf Basis von Flask gesteuert. Darüber können Angreifer Kommandos ausführen, weitere Payloads nachladen und die Miner-Konfigurationen anpassen. Ein wichtiges Zusatzmodul ist ein Installationsskript für Hysteria V2, ein modernes Werkzeug für performante Proxy-Tunnel mit Fokus auf Zensurumgehung und Traffic-Verschleierung.
Ziel ist offenbar, die infiltrierten Systeme doppelt zu monetarisieren: Einerseits über Kryptomining, andererseits als anonyme Proxy-Knoten, die sich etwa für Umgehung von Geoblocking, Credential-Stuffing oder andere missbräuchliche Aktivitäten vermarkten lassen.
Auffällig ist zudem der gezielte Angriff auf ein konkurrierendes Botnet namens „Hisana“. Statt dessen Prozesse nur zu beenden, überschreibt ghost.sh die Hisana-Konfiguration und leitet dessen Mining-Einnahmen auf Wallets der aktuellen Operatoren um. Zusätzlich wird der übliche Management-Port von Hisana (10808) mit einem „leeren“ Python-Listener blockiert, um einen Neustart des Konkurrenz-Botnets zu verhindern.
Teil einer breiteren Welle gegen offene Dienste und AI-Systeme
Die Analyse der auf dem Angreifer-Server gespeicherten Shell-Historie zeigt außerdem einen SSH-Login-Versuch als Root auf die IP 120.241.40[.]237. Diese Adresse ist mit einer aktiven, sich selbst verbreitenden Kampagne gegen offene Redis-Server verknüpft. Das spricht dafür, dass die Angriffe auf ComfyUI Teil einer größeren, modularen Infrastruktur sind, die verschiedene öffentlich exponierte Dienste automatisiert ausnutzt.
Laut Auswertungen von Pulsedive und Spamhaus nahm die Botnet-Aktivität im Jahr 2025 deutlich zu: um 26 % im ersten Halbjahr und noch einmal um 24 % in der zweiten Jahreshälfte. Ein Treiber dieser Entwicklung ist der frei verfügbare Quellcode etablierter Botnet-Familien wie Mirai, aus denen zahlreiche Forks hervorgegangen sind. Während viele Varianten weiterhin massive DDoS-Angriffe fahren, zielen neue Kampagnen zunehmend auf Cloud- und AI-Services, bei denen Rechenleistung und Bandbreite direkt monetarisierbar sind.
Für Betreiber von KI-Infrastrukturen zeigt der Fall ComfyUI deutlich, wie schnell auch scheinbar harmlose Hilfswerkzeuge zu attraktiven Zielen werden. Exponierte Webinterfaces ohne Authentifizierung, Custom Nodes mit beliebiger Code-Ausführung und ungeschützte Paketmanager machen Bildgenerierungs-Setups zu einem komfortablen Einstiegspunkt für professionelle Angreifer. Organisationen sollten daher den direkten Internetzugriff auf ComfyUI strikt beschränken (z. B. per VPN, IP-Filter oder Reverse Proxy mit Authentifizierung), gefährliche Custom Nodes deaktivieren oder stark limitieren, regelmäßig nach auffälligen Paketen wie „ComfyUI-Shell-Executor“, Skripten wie ghost.sh sowie Minern wie XMRig und lolMiner suchen und systemweit Dateien mit chattr +i identifizieren. Ein proaktiver Audit der eigenen Cloud-Angriffsfläche und kontinuierliches Monitoring von Botnet-Aktivitäten werden damit zu zentralen Bausteinen jeder nachhaltigen AI-Security-Strategie.
