Una nueva campaña de amenazas, denominada ShadowRay 2.0, está aprovechando la vulnerabilidad crítica CVE-2023-48022 para transformar clústeres de inteligencia artificial basados en el framework Ray en un botnet autoexpansivo. Según el análisis de Oligo Security, los atacantes utilizan el Jobs API de Ray, expuesto sin autenticación, para ejecutar código remoto (RCE) y tomar el control completo de estas infraestructuras.
Framework Ray y vulnerabilidad CVE-2023-48022: un riesgo crítico para la IA
Ray, desarrollado por Anyscale, es un framework open source ampliamente utilizado para construir aplicaciones distribuidas en Python, especialmente en machine learning, computación de alto rendimiento y análisis de grandes volúmenes de datos. Grandes compañías tecnológicas como Uber, Amazon, Spotify, LinkedIn y OpenAI lo emplean para entrenar y orquestar modelos de IA a gran escala.
La vulnerabilidad CVE-2023-48022 ha sido valorada con 9,8 sobre 10 en la escala CVSS, lo que la sitúa en el nivel crítico. El origen del problema reside en que el Jobs API de Ray acepta y ejecuta tareas sin ningún mecanismo de autenticación. Cualquier actor con acceso a la red puede enviar un job malicioso y obtener ejecución arbitraria de código en el clúster, con capacidad para moverse lateralmente, desplegar malware y exfiltrar datos.
Anyscale ha indicado que Ray fue diseñado para operar en un “entorno de red estrictamente controlado” y que la ausencia de autenticación en estos endpoints fue un “decisión arquitectónica consciente”. Este enfoque provocó que parte del sector no catalogara inicialmente el problema como una vulnerabilidad clásica, quedando fuera de algunas bases de datos de CVE y convirtiendo a CVE-2023-48022 en una “vulnerabilidad en la sombra” para muchos equipos de seguridad.
ShadowRay 2.0: cómo se construye un botnet a partir de clústeres Ray
Payloads generados con IA y cadena de ataque automatizada
El atacante identificado como IronErn440 estaría detrás de esta ola de incidentes, utilizando payloads generados con inteligencia artificial para comprometer los clústeres Ray. El código malicioso presenta patrones típicos de generación automatizada: comentarios repetitivos, docstrings innecesarios, comandos echo sin uso real y manejos de errores estándar.
Una vez comprometido un nodo mediante payloads encadenados en Bash y Python ejecutados a través del Jobs API, los propios mecanismos de orquestación de Ray se usan como vector de propagación. Las tareas maliciosas se distribuyen automáticamente al resto de nodos, de forma que el clúster de IA queda convertido en un botnet cohesionado y gestionable de forma centralizada.
GitLab y GitHub como infraestructura DevOps del cibercrimen
Oligo Security ha documentado dos grandes oleadas de ShadowRay 2.0. La primera, que concluyó el 5 de noviembre, se apoyaba en GitLab para alojar los scripts maliciosos. La segunda, iniciada el 17 de noviembre y aún activa, migró la infraestructura a GitHub. Cuando los repositorios eran eliminados, los atacantes desplegaban rápidamente nuevos proyectos, replicando un ciclo DevOps completo aplicado a operaciones de ciberdelincuencia.
Entre ambas campañas, la superficie de exposición se ha disparado: se han identificado más de 230 000 servidores Ray accesibles desde Internet, frente a apenas unos miles en las primeras fases. Esta expansión multiplica el número de posibles objetivos y refuerza la necesidad de gestionar la exposición de servicios de IA, como ya han subrayado diversos informes de organismos como ENISA y NIST en el contexto de la seguridad de entornos cloud y de alto rendimiento.
Capacidades de ShadowRay: minería de Monero, robo de datos y gusano autoexpandible
Criptominería encubierta de Monero y evasión de detección
Uno de los usos principales de los recursos secuestrados es la minería de criptomoneda Monero mediante el conocido software XMRig. Para reducir la probabilidad de detección, el minero limita el uso de CPU a alrededor del 60 % y se camufla bajo nombres de procesos legítimos, como dns-filter. Además, termine otros mineros competidores y bloquea pools rivales modificando /etc/hosts y reglas de iptables, lo que asegura el monopolio de la máquina comprometida.
Exfiltración de datos críticos y acceso remoto persistente
ShadowRay 2.0 despliega múltiples reverse shells, otorgando a los atacantes acceso interactivo a los servidores comprometidos. Este acceso se utiliza para robar credenciales de bases de datos como MySQL, tokens de acceso, claves de proveedores cloud, modelos de IA propietarios y código fuente. En uno de los incidentes analizados se localizaron alrededor de 240 GB de modelos y conjuntos de datos en un solo servidor, ilustrando el potencial impacto en términos de fuga de propiedad intelectual y cumplimiento normativo.
DDoS, escaneo masivo y persistencia a largo plazo
El malware integra la herramienta Sockstress para lanzar ataques de denegación de servicio distribuido (DDoS), abriendo grandes cantidades de conexiones TCP a través de raw sockets y agotando recursos de las víctimas seleccionadas. Paralelamente, los clústeres infectados escanean Internet en busca de otras instancias Ray vulnerables, comportándose como un gusano autoexpansible que amplía el botnet de forma continua.
Para mantener la persistencia, ShadowRay modifica configuraciones de cron y unidades de systemd, asegurando el arranque automático del malware y estableciendo tareas periódicas (cada 15 minutos) para consultar en GitHub si existen payloads actualizados. Este modelo permite una rápida iteración de versiones maliciosas sin intervención manual en cada host.
Riesgos empresariales y estrategias de defensa para proteger Ray
La ausencia de parches específicos por parte de Anyscale mantiene a CVE-2023-48022 como un factor de riesgo crítico para organizaciones que utilizan Ray en entornos productivos o de investigación. El compromiso de estos clústeres puede traducirse en interrupciones operativas, consumo abusivo de recursos, filtración de datos sensibles y pérdida de modelos de IA estratégicos, con posibles impactos regulatorios y reputacionales.
Las recomendaciones de seguridad para minimizar el riesgo incluyen:
1. Aislamiento de red de clústeres Ray. Desplegar Ray exclusivamente en redes internas o bien segmentadas, sin exposición directa a Internet. Establecer acceso administrativo sólo mediante VPN y principios de Zero Trust, verificando identidad y contexto en cada conexión.
2. Control estricto del tráfico y de los endpoints expuestos. Proteger los nodos Ray con firewalls y ACL, permitiendo conexiones únicamente desde rangos y servicios autorizados. Integrar revisiones periódicas de exposición con herramientas de descubrimiento tipo attack surface management.
3. Protección de Ray Dashboard y Jobs API. Incorporar autenticación y autorización robustas (por ejemplo, SSO corporativo, OAuth2, mTLS) delante de Ray Dashboard (puerto 8265) y del Jobs API, idealmente a través de un proxy inverso o API gateway con controles adicionales.
4. Monitorización continua y respuesta a incidentes. Vigilar anomalías en uso de CPU/GPU, patrones de tráfico inusuales, conexiones salientes desconocidas y jobs atípicos en el Jobs API. Utilizar EDR y soluciones de observabilidad para detectar procesos que se hagan pasar por servicios del sistema y bloquearlos de forma temprana.
5. Gestión de exposición y gobernanza de IA. Auditar de forma recurrente la infraestructura, incluyendo entornos cloud, en busca de instancias Ray expuestas o clústeres no documentados. Incorporar estos activos al inventario oficial, aplicar infraestructura como código para estandarizar la seguridad y alinear la protección de plataformas de IA con las políticas globales de ciberseguridad.
ShadowRay 2.0 demuestra cómo los atacantes combinan IA generativa, prácticas DevOps y frameworks legítimos de IA para automatizar campañas a gran escala. Cuanto antes revisen las organizaciones sus despliegues de Ray, segmenten la red, añadan capas de autenticación y establezcan una monitorización sólida, menor será la probabilidad de que sus clústeres de IA terminen formando parte del próximo botnet global.
