El ecosistema de ciberseguridad en la nube se enfrenta a una nueva amenaza: una versión actualizada del malware Chaos que abandona el enfoque tradicional en routers domésticos y dispositivos IoT para centrarse en despliegues cloud mal configurados. Esta evolución confirma una tendencia preocupante: los botnets están explotando cada vez más la infraestructura de proveedores en la nube como plataforma potente y difícil de rastrear para sus operaciones.
Chaos apunta a la nube: explotación de Hadoop mal configurado
Investigadores de Darktrace detectaron el nuevo botnet Chaos al atacar un honeypot que imitaba un clúster de Hadoop con configuración deliberadamente insegura y posibilidad de ejecución remota de código. Estos entornos señuelo reproducen errores habituales de configuración en la nube y permiten analizar con precisión las tácticas de los atacantes.
La intrusión se inició mediante una petición HTTP al servicio Hadoop que, bajo la apariencia de crear una nueva aplicación, incluía una cadena de comandos de shell. Entre ellos se encontraba la descarga de un binario del agente Chaos desde el servidor pan.tenire[.]com, la asignación de permisos máximos mediante chmod 777, su ejecución y la posterior eliminación del archivo para reducir los artefactos forenses disponibles.
Este patrón es característico de los ataques a infraestructura cloud: un servicio expuesto o mal restringido (Hadoop, Docker, Kubernetes, etc.) sirve como punto de entrada, tras el cual el malware se instala y convierte el servidor en un nodo operativo del botnet.
Origen de Chaos, relación con Kaiji y posibles vínculos con grupos chinos
El malware Chaos fue descrito en detalle por Lumen Black Lotus Labs en 2022 como una familia multiplataforma para Windows y Linux. Su funcionalidad incluía ejecución de comandos remotos, descarga de módulos adicionales, fuerza bruta de claves SSH para propagarse, minería de criptomonedas y potentes ataques DDoS sobre HTTP, TLS, TCP, UDP y WebSocket.
Diversos análisis sitúan a Chaos como una evolución del botnet Kaiji, conocido por aprovechar instancias Docker mal configuradas. La infraestructura asociada a Chaos presenta servidores ubicados en China y cadenas de texto en chino dentro del código, lo que sugiere un posible origen de habla china para sus operadores, aunque la atribución sigue siendo inconclusa, en línea con la complejidad habitual de estos casos.
Los dominios utilizados en las campañas actuales se solapan con la actividad de la amenaza conocida como Silver Fox, que ya empleó pan.tenire[.]com en campañas de phishing para distribuir documentos maliciosos y el malware ValleyRAT. Investigadores de Seqrite Labs relacionaron estas campañas con la Operation Silk Lure, lo que ilustra cómo los grupos criminales reutilizan infraestructura de confianza probada para distintos fines.
Nuevas capacidades técnicas: eliminación de autopropagación y uso de SOCKS proxy
El archivo desplegado sobre los servidores comprometidos es un binario ELF de 64 bits, que representa una versión remodelada de Chaos. Darktrace señala que, aunque se mantiene la mayor parte del núcleo funcional, la arquitectura interna ha sido modificada y muchos segmentos de código vinculados anteriormente a Kaiji han sido reescritos o sometidos a un profundo refactorizado.
El cambio más significativo es la eliminación de los mecanismos de autopropagación, entre ellos el uso de fuerza bruta sobre SSH y la explotación directa de vulnerabilidades en routers. En su lugar, el nuevo Chaos incorpora de forma nativa un SOCKS proxy integrado, función que permite redirigir prácticamente cualquier tipo de tráfico a través del servidor infectado.
Al operar como nodo proxy en la nube, la máquina comprometida oculta las direcciones IP reales de los atacantes y complica enormemente la atribución. Desde el exterior, la actividad maliciosa aparenta proceder de direcciones legítimas pertenecientes a grandes proveedores cloud, mientras que los sistemas de mando y control reales permanecen varios “saltos” por detrás.
Monetización del botnet Chaos y riesgos añadidos para las empresas
La incorporación del SOCKS proxy apunta a un cambio en el modelo de negocio. Más allá de la minería de criptomonedas y de las clásicas ofertas de DDoS-for-hire, los operadores de Chaos pueden ahora comercializar servicios de proxy anónimo en mercados clandestinos, siguiendo una tendencia similar observada en otros botnets como AISURU.
Para las organizaciones, esto implica que un servidor en la nube comprometido puede explotarse como puerta de enlace anónima para campañas de phishing, intrusiones en terceros, ocultación de servidores de mando y control y eludir bloqueos geográficos o por IP. El resultado puede ser el bloqueo de rangos de direcciones de la empresa, daños reputacionales y posibles consecuencias legales, incluso si los datos internos no han sido directamente exfiltrados.
Cómo proteger la infraestructura en la nube frente a Chaos y botnets similares
Configuración segura y control estricto de accesos
El factor determinante en las campañas de Chaos contra la nube son las configuraciones inseguras. Es esencial limitar o desactivar el código remoto arbitrario en Hadoop, Docker, Kubernetes y plataformas afines, evitar el acceso anónimo, y aplicar de forma rigurosa el principio de mínimo privilegio. Los paneles de administración deben estar aislados en segmentos internos, protegidos con VPN y autenticación multifactor robusta.
Monitorización de anomalías y del tráfico de red
Las empresas deberían desplegar soluciones de NDR/EDR y sistemas de monitorización capaces de detectar patrones de tráfico inusuales, como conexiones salientes a dominios poco frecuentes, picos súbitos de volumen en TCP/UDP o ráfagas de peticiones HTTP hacia recursos no habituales. Señales adicionales de compromiso incluyen el uso inesperado de wget/curl hacia direcciones externas, el empleo masivo de chmod 777 y la aparición de nuevos binarios ELF desconocidos en servidores cloud.
Gestión de vulnerabilidades y preparación ante incidentes
La actualización regular del sistema operativo y del middleware, sumada a auditorías de configuración basadas en estándares como CIS Benchmarks, reduce de forma notable las superficies explotables por Chaos. Igualmente crítico es disponer de un plan de respuesta a incidentes probado, copias de seguridad actualizadas y procedimientos claros de aislamiento rápido de nodos en la nube comprometidos.
La evolución del botnet Chaos evidencia la rapidez con la que los actores criminales adoptan la nube como infraestructura central y cómo amplían su oferta hacia la anonimización de tráfico más allá de los DDoS tradicionales. Cada servidor expuesto con una configuración laxa puede terminar integrado en una red de proxies que soporte un amplio abanico de actividades ilícitas. Revisar a fondo las configuraciones cloud, reforzar la monitorización continua y formar al personal técnico en buenas prácticas de seguridad son pasos imprescindibles para evitar que la propia infraestructura se convierta en la base de operaciones de ataques contra terceros.
