{"id":480,"date":"2026-04-07T14:37:46","date_gmt":"2026-04-07T14:37:46","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/07\/mas-de-1000-instancias-de-comfyui-expuestas-dirigidas-a-la-campana-de-botnet-de-criptomineria-cyberdefensa-mx\/"},"modified":"2026-04-07T14:37:46","modified_gmt":"2026-04-07T14:37:46","slug":"mas-de-1000-instancias-de-comfyui-expuestas-dirigidas-a-la-campana-de-botnet-de-criptomineria-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/07\/mas-de-1000-instancias-de-comfyui-expuestas-dirigidas-a-la-campana-de-botnet-de-criptomineria-cyberdefensa-mx\/","title":{"rendered":"M\u00e1s de 1000 instancias de ComfyUI expuestas dirigidas a la campa\u00f1a de botnet de criptominer\u00eda \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a href=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEiNAquH2CuNdKvNbKqIsmTqg2Rpb5SRn8zxBKdQliREzpq_Byd0ye0aD8IFVa1JUj09QnQVJVnAVET30DX0jRBK1LBXJ-16QC_GoiYDH2ibCfoYcttx3McOurmn9e4cSugeNgEQa-oVqR13I9K1h6ktgggudmT3u88I_iN_ksHQvuS2N0u0uGlUNTW_Tv9l\/s1700-e365\/compfyui.jpg\" style=\"display: block;  text-align: center; clear: left; float: left;\"><img decoding=\"async\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEiNAquH2CuNdKvNbKqIsmTqg2Rpb5SRn8zxBKdQliREzpq_Byd0ye0aD8IFVa1JUj09QnQVJVnAVET30DX0jRBK1LBXJ-16QC_GoiYDH2ibCfoYcttx3McOurmn9e4cSugeNgEQa-oVqR13I9K1h6ktgggudmT3u88I_iN_ksHQvuS2N0u0uGlUNTW_Tv9l\/s1700-e365\/compfyui.jpg\" alt=\"\" border=\"0\" data-original-height=\"470\" data-original-width=\"900\"\/><\/a><\/div>\n<p>Se ha observado una campa\u00f1a activa dirigida a instancias expuestas a Internet que ejecutan ComfyUI, una popular plataforma de difusi\u00f3n estable, para incluirlas en una botnet proxy y de miner\u00eda de criptomonedas.<\/p>\n<p>\u00abUn esc\u00e1ner Python especialmente dise\u00f1ado barre continuamente los principales rangos de IP de la nube en busca de objetivos vulnerables, instalando autom\u00e1ticamente nodos maliciosos a trav\u00e9s de <a href=\"https:\/\/github.com\/Comfy-Org\/ComfyUI-Manager\">ComfyUI-Manager<\/a> si no hay ning\u00fan nodo explotable presente\u00bb, dijo el investigador de seguridad de Censys, Mark Ellzey. <a href=\"https:\/\/censys.com\/blog\/comfyui-servers-cryptomining-proxy-botnet\/\">dicho<\/a> en un informe publicado el lunes.<\/p>\n<p>La actividad de ataque, en esencia, busca sistem\u00e1ticamente instancias expuestas de ComfyUI y explota una configuraci\u00f3n incorrecta que permite la ejecuci\u00f3n remota de c\u00f3digo en implementaciones no autenticadas a trav\u00e9s de <a href=\"https:\/\/docs.comfy.org\/development\/core-concepts\/nodes\">nodos personalizados<\/a>.<\/p>\n<p>Tras una explotaci\u00f3n exitosa, los hosts comprometidos se agregan a una operaci\u00f3n de criptominer\u00eda que extrae Monero a trav\u00e9s de XMRig y Conflux a trav\u00e9s de lolMiner, as\u00ed como a una botnet Hysteria V2. Ambos se administran de forma centralizada a trav\u00e9s de un panel de comando y control (C2) basado en Flask.<\/p>\n<p>Los datos de las plataformas de gesti\u00f3n de superficies de ataque muestran que hay m\u00e1s de <a href=\"https:\/\/platform.censys.io\/search?q=%28host.services.endpoints.http.html_tags+%3D+%22%3Ctitle%3EComfyUI%3C%2Ftitle%3E%22%29+and+not+host.services.labels.value+%3D+%22HONEYPOT%22\">1000 instancias de ComfyUI de acceso p\u00fablico<\/a>. Si bien no es un n\u00famero enorme, es suficiente para que un actor de amenazas ejecute campa\u00f1as oportunistas para obtener ganancias financieras.<\/p>\n<p>Censys dijo que descubri\u00f3 la campa\u00f1a el mes pasado despu\u00e9s de identificar un directorio abierto en <a href=\"https:\/\/platform.censys.io\/hosts\/77.110.96.200\">77.110.96[.]200<\/a>una direcci\u00f3n IP asociada con un proveedor de servicios de hosting a prueba de balas, Aeza Group. Se dice que el directorio conten\u00eda un conjunto de herramientas no documentadas previamente para llevar a cabo los ataques.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/vpn-risk-report-inside-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEgWajeG0cdaapf1GKTZRUZUB7BzuYGegyw5k0eAorJXlmkFdYCCeLXXhXYJuXU9lWD33rV6rRnIyly3czoNfYifpxk1eGA5slItPmim3HkubXoQMgC4J7hdQPywxGbWq7Eqeff_o6s2Fq-WmSFd5guwdLn7IqpveMqULqtVnd-ndnljWYGj45EkMFB7m0qm\/s728-e100\/z-d.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>Esto incluye dos herramientas de reconocimiento para enumerar las instancias de ComfyUI expuestas en la infraestructura de la nube, identificar aquellas que tienen instalado ComfyUI-Manager y seleccionar aquellas que son susceptibles al exploit de ejecuci\u00f3n de c\u00f3digo.<\/p>\n<p>Uno de los dos scripts de Python del esc\u00e1ner tambi\u00e9n funciona como un marco de explotaci\u00f3n que utiliza los nodos personalizados de ComfyUI como arma para lograr la ejecuci\u00f3n del c\u00f3digo. Esta t\u00e9cnica, algunos aspectos de los cuales fueron <a href=\"https:\/\/labs.snyk.io\/resources\/hacking-comfyui-through-custom-nodes\/\">documentado<\/a> por Snyk en diciembre de 2024, aprovecha el hecho de que algunos nodos personalizados aceptan c\u00f3digo Python sin formato como entrada y lo ejecutan directamente sin requerir ninguna autenticaci\u00f3n.<\/p>\n<p>Como resultado, un atacante puede escanear instancias expuestas de ComfyUI en busca de familias de nodos personalizados espec\u00edficos que admitan la ejecuci\u00f3n de c\u00f3digo arbitrario, convirtiendo efectivamente el servicio en un canal para entregar cargas \u00fatiles de Python controladas por el atacante. Algunas de las familias de nodos personalizados que el ataque busca particularmente se enumeran a continuaci\u00f3n:<\/p>\n<ul>\n<li>Vova75Rus\/ComfyUI-Shell-Executor<\/li>\n<li>filliptm\/ComfyUI_Fill-Nodes<\/li>\n<li>seanlynch\/srl-nodos<\/li>\n<li>ruiqutech\/ComfyUI-RuiquNodes<\/li>\n<\/ul>\n<p>\u00abSi ninguno de los nodos objetivo est\u00e1 presente, el esc\u00e1ner comprueba si ComfyUI-Manager est\u00e1 instalado\u00bb, dijo Censys. \u00abSi est\u00e1 disponible, instala \u00e9l mismo un paquete de nodo vulnerable y luego vuelve a intentar la explotaci\u00f3n\u00bb.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a href=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEikaVhRPaXUbrhU-MsUlf2VqYKxmkD2cdWgOQWGit4H0bQJs5cgpHvy4QP-R8NNC2BGbAotVgtU6ZS_xf7LOAaAVweLeqb64fdwB-AHQv_nUPxhE1Gq3GShLWWfuTWkEEXvjXKAN2aczToCWLsoNlfM1axgUGJXPHNB0VMgujHwfZgwGr5ZeJcX4FPSEfVV\/s1700-e365\/kry.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEikaVhRPaXUbrhU-MsUlf2VqYKxmkD2cdWgOQWGit4H0bQJs5cgpHvy4QP-R8NNC2BGbAotVgtU6ZS_xf7LOAaAVweLeqb64fdwB-AHQv_nUPxhE1Gq3GShLWWfuTWkEEXvjXKAN2aczToCWLsoNlfM1axgUGJXPHNB0VMgujHwfZgwGr5ZeJcX4FPSEfVV\/s1700-e365\/kry.png\" alt=\"\" border=\"0\" data-original-height=\"969\" data-original-width=\"1191\"\/><\/a><\/div>\n<p>Vale la pena se\u00f1alar que \u00abComfyUI-Shell-Executor\u00bb es un paquete malicioso creado por el atacante para recuperar un script de shell de la siguiente etapa (\u00abghost.sh\u00bb) de la direcci\u00f3n IP antes mencionada. Una vez que se obtiene la ejecuci\u00f3n del c\u00f3digo, el esc\u00e1ner elimina la evidencia del exploit borrando el historial de mensajes de ComfyUI.<\/p>\n<p>Una versi\u00f3n m\u00e1s nueva del esc\u00e1ner tambi\u00e9n incorpora mecanismos de persistencia que hacen que el script de shell se descargue cada seis horas y que el flujo de trabajo del exploit se vuelva a ejecutar cada vez que se inicia ComfyUI.<\/p>\n<p>El script de shell, por su parte, desactiva el historial de shell, elimina a los mineros competidores, inicia el proceso de miner\u00eda y utiliza el gancho LD_PRELOAD para ocultar un proceso de vigilancia que garantiza que el proceso de miner\u00eda se recupere en caso de que finalice.<\/p>\n<p>Adem\u00e1s, el programa minero se copia en varias ubicaciones, de modo que incluso si se borra el directorio de instalaci\u00f3n principal, se puede iniciar desde una de las ubicaciones alternativas. Un tercer mecanismo que utiliza el malware para garantizar la persistencia es el uso del \u00ab<a href=\"https:\/\/man7.org\/linux\/man-pages\/man1\/chattr.1.html\">chattr +i<\/a>\u00abcomando para bloquear los archivos binarios del minero y evitar que sean eliminados, modificados o renombrados, incluso por el usuario root.<\/p>\n<p>\u00abTambi\u00e9n hay un c\u00f3digo dedicado dirigido a un competidor espec\u00edfico, &#8216;Hisana&#8217; (al que se hace referencia en todo el c\u00f3digo), que parece ser otra botnet de miner\u00eda\u00bb, explic\u00f3 Censys. \u00abEn lugar de simplemente matarlo, ghost.sh sobrescribe su configuraci\u00f3n para redirigir la producci\u00f3n minera de Hisana a su propia direcci\u00f3n de billetera, luego ocupa el puerto C2 de Hisana (10808) con un oyente Python ficticio para que Hisana no pueda reiniciarse\u00bb.<\/p>\n<p>Los hosts infectados se controlan mediante un panel C2 basado en Flask, que permite al operador enviar instrucciones o implementar cargas \u00fatiles adicionales, incluido un script de shell que instala Hysteria V2 con el objetivo probable de vender nodos comprometidos como servidores proxy. <\/p>\n<p>Un an\u00e1lisis m\u00e1s detallado del historial de comandos de shell del atacante ha revelado un intento de inicio de sesi\u00f3n SSH como root en la direcci\u00f3n IP. <a href=\"https:\/\/www.virustotal.com\/gui\/ip-address\/120.241.40.237\/detection\">120.241.40[.]237<\/a>que se ha relacionado con un <a href=\"https:\/\/censys.com\/blog\/databases-exposed-redis\/\">campa\u00f1a de gusanos en curso<\/a> dirigido a servidores de bases de datos Redis expuestos.<\/p>\n<p>\u00abGran parte de las herramientas en este repositorio parecen ensambladas apresuradamente, y las t\u00e1cticas y t\u00e9cnicas generales podr\u00edan sugerir inicialmente una actividad poco sofisticada\u00bb, dijo Censys. \u00abEspec\u00edficamente, el operador identifica instancias expuestas de ComfyUI que ejecutan nodos personalizados, determina cu\u00e1les de esos nodos exponen una funcionalidad insegura y luego los utiliza como v\u00eda para la ejecuci\u00f3n remota de c\u00f3digo\u00bb.<\/p>\n<p>\u00abLa infraestructura a la que accede el operador respalda a\u00fan m\u00e1s la idea de que esta actividad es parte de una campa\u00f1a m\u00e1s amplia centrada en descubrir y explotar servicios expuestos, seguida del despliegue de herramientas personalizadas para persistencia, escaneo o monetizaci\u00f3n\u00bb.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/fast-response-not-fast-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjgi9mu68zRUz1nCLLKmkAA2aBtNfP_JOTXulZoB6yImso1Onk7oM_LI0kdROu8fq5S5oDyMtd1j50W44Ye_8Sl3zQZiE8A9tmFr6kejGKjGh74uoxluF-RyBq_unDQlzjXZHCqQeuYXBoogda5zf0w-zXd6v0rIM7fEw6TcFf_QGWBu5Mop-djkEaOUa5A\/s728-e100\/tl-d.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>El descubrimiento coincide con la aparici\u00f3n de m\u00faltiples campa\u00f1as de botnets en las \u00faltimas semanas.<\/p>\n<ul>\n<li>Explotaci\u00f3n de vulnerabilidades de inyecci\u00f3n de comandos en enrutadores n8n (CVE-2025-68613) y Tenda AC1206 (<a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2025-7544\">CVE-2025-7544<\/a>) a <a href=\"https:\/\/www.intel471.com\/blog\/cve-2025-68613-zerobot-botnet-exploits-critical-vulnerability-impacting-n8n-ai-orchestration-platform\">agregarlos<\/a> a una botnet basada en Mirai conocida como Zerobot.<\/li>\n<li>Explotaci\u00f3n de <a href=\"https:\/\/www.vulncheck.com\/blog\/return-of-the-kinsing\">vulnerabilidades<\/a> en Apache ActiveMQ (CVE-2023-46604), Metabase (CVE-2023-38646) y React Server Components (CVE-2025-55182 tambi\u00e9n conocido como React2Shell) para entregar Kinsing, un malware persistente utilizado para la miner\u00eda de criptomonedas y el lanzamiento de ataques de denegaci\u00f3n de servicio distribuido (DDoS).<\/li>\n<li>Explotaci\u00f3n de una supuesta vulnerabilidad de d\u00eda cero en el almacenamiento conectado en red (NAS) de fnOS para atacar sistemas expuestos a Internet e implantarlos con un malware DDoS llamado <a href=\"https:\/\/blog.xlab.qianxin.com\/netdragon\/\">netdragon<\/a>. \u00abNetDragon establece una interfaz de puerta trasera HTTP en los dispositivos comprometidos, lo que permite a los atacantes acceder y controlar de forma remota los sistemas infectados\u00bb, dijo QiAnXin XLab. \u00abAltera el archivo &#8216;hosts&#8217; para secuestrar los dominios oficiales de actualizaci\u00f3n del sistema Feiniu NAS, evitando efectivamente que los dispositivos obtengan actualizaciones del sistema y parches de seguridad\u00bb.<\/li>\n<li>Ampliaci\u00f3n de la lista de exploits de RondoDox a 174 vulnerabilidades diferentes, al tiempo que se cambia la metodolog\u00eda de ataque de un \u00abenfoque directo\u00bb a fallas m\u00e1s espec\u00edficas y recientes que tienen m\u00e1s probabilidades de provocar infecciones.<\/li>\n<li>Explotaci\u00f3n de <a href=\"https:\/\/eclypsium.com\/blog\/condibot-monaco-malware-network-infrastructure\/\">vulnerabilidades de seguridad conocidas<\/a> implementar una nueva variante de Condi, un malware de Linux que convierte los dispositivos Linux comprometidos en robots capaces de realizar ataques DDoS. El binario hace referencia a una cadena \u00abQTXBOT\u00bb, que indica el nombre de la versi\u00f3n bifurcada o el nombre del proyecto interno.<\/li>\n<li>Ataques de fuerza bruta contra servidores SSH para lanzar un minero XMRig y generar ingresos il\u00edcitos en criptomonedas como parte de una operaci\u00f3n activa de criptojacking llamada M\u00f3naco. Tambi\u00e9n se han identificado contrase\u00f1as SSH d\u00e9biles. <a href=\"https:\/\/isc.sans.edu\/diary\/32708\">utilizados como v\u00edas de ataque<\/a> para implementar malware que establece persistencia, mata a los mineros competidores, se conecta a un servidor externo y realiza un escaneo ZMap para propagar el malware en forma de gusano a otros hosts vulnerables.<\/li>\n<\/ul>\n<p>\u00abLa actividad de botnets ha aumentado durante el \u00faltimo a\u00f1o, y Spauhaus observ\u00f3 aumentos del 26 % y del 24 % en los dos per\u00edodos de seis meses de enero a junio de 2025 y de julio a diciembre de 2025, respectivamente\u00bb, Pulsedive <a href=\"https:\/\/blog.pulsedive.com\/the-operations-of-the-swarm-inside-the-complex-world-of-mirai-based-botnets\/\">dicho<\/a>.<\/p>\n<p>\u00abEste aumento est\u00e1 asociado con la aparici\u00f3n de bots y nodos en los Estados Unidos. El aumento tambi\u00e9n se debe a la disponibilidad de c\u00f3digo fuente para botnets como Mirai. Las ramas y variantes de Mirai son responsables de algunos de los mayores ataques DDoS por volumen\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Se ha observado una campa\u00f1a activa dirigida a instancias expuestas a Internet que ejecutan ComfyUI, una popular plataforma de difusi\u00f3n estable, para incluirlas en una botnet proxy y de miner\u00eda de criptomonedas. \u00abUn esc\u00e1ner Python especialmente dise\u00f1ado barre continuamente los principales rangos de IP de la nube en busca de objetivos vulnerables, instalando autom\u00e1ticamente nodos [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":481,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[173,133,1619,1620,24,431,258,228,98],"class_list":["post-480","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-botnet","tag-campana","tag-comfyui","tag-criptomineria","tag-cyberdefensa-mx","tag-dirigidas","tag-expuestas","tag-instancias","tag-mas"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/480","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=480"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/480\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/481"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=480"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=480"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=480"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}