{"id":503,"date":"2026-04-08T19:41:30","date_gmt":"2026-04-08T19:41:30","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/08\/la-nueva-variante-del-caos-apunta-a-implementaciones-en-la-nube-mal-configuradas-y-agrega-el-proxy-socks-cyberdefensa-mx\/"},"modified":"2026-04-08T19:41:30","modified_gmt":"2026-04-08T19:41:30","slug":"la-nueva-variante-del-caos-apunta-a-implementaciones-en-la-nube-mal-configuradas-y-agrega-el-proxy-socks-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/08\/la-nueva-variante-del-caos-apunta-a-implementaciones-en-la-nube-mal-configuradas-y-agrega-el-proxy-socks-cyberdefensa-mx\/","title":{"rendered":"La nueva variante del caos apunta a implementaciones en la nube mal configuradas y agrega el proxy SOCKS \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Los investigadores de ciberseguridad han detectado una nueva variante de malware llamada Caos<\/strong>eso es capaz de atacar implementaciones en la nube mal configuradas, lo que marca una expansi\u00f3n de la infraestructura de destino de la botnet.<\/p>\n

\u00abEl malware del caos se dirige cada vez m\u00e1s a implementaciones en la nube mal configuradas, expandi\u00e9ndose m\u00e1s all\u00e1 de su enfoque tradicional en enrutadores y dispositivos de borde\u00bb, Darktrace dicho<\/a> en un nuevo informe.<\/p>\n

El caos fue documentado por primera vez por Lumen Black Lotus Labs en septiembre de 2022, y lo describi\u00f3 como un malware multiplataforma capaz de apuntar a entornos Windows y Linux para ejecutar comandos de shell remotos, colocar m\u00f3dulos adicionales, propagarse a otros hosts mediante claves SSH de fuerza bruta, extraer criptomonedas y lanzar ataques distribuidos de denegaci\u00f3n de servicio (DDoS) a trav\u00e9s de HTTP, TLS, TCP, UDP y WebSocket.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Se considera que el malware es una evoluci\u00f3n de otro malware DDoS conocido como Kaiji que ha detectado instancias Docker mal configuradas. Actualmente no se sabe qui\u00e9n est\u00e1 detr\u00e1s de la operaci\u00f3n, pero la presencia de caracteres en idioma chino y el uso de infraestructura con sede en China sugieren que el actor de la amenaza podr\u00eda ser de origen chino.<\/p>\n

Darktrace dijo que identific\u00f3 la nueva variante dirigida a su red honeypot el mes pasado, una instancia de Hadoop deliberadamente mal configurada que permite la ejecuci\u00f3n remota de c\u00f3digo en el servicio. En el ataque detectado por la empresa de ciberseguridad, la intrusi\u00f3n comenz\u00f3 con una solicitud HTTP al despliegue de Hadoop para crear una nueva aplicaci\u00f3n.<\/p>\n

La aplicaci\u00f3n, por su parte, incorpor\u00f3 una secuencia de comandos de shell para recuperar un binario del agente Chaos de un servidor controlado por un atacante (\u00abpan.tenire[.]com\u00bb), establecer permisos para permitir a todos los usuarios leerlo, modificarlo o ejecutarlo (\u00abchmod 777\u00bb) y luego ejecutar el binario y eliminar el artefacto del disco para minimizar el rastro forense.<\/p>\n

Un aspecto interesante del ataque es que el dominio se utiliz\u00f3 anteriormente en relaci\u00f3n con una campa\u00f1a de phishing por correo electr\u00f3nico llevada a cabo por el grupo chino de cibercrimen Silver Fox para entregar documentos se\u00f1uelo y malware ValleyRAT. La campa\u00f1a recibi\u00f3 el nombre en clave. Operation Silk Lure de Seqrite Labs en octubre de 2025.<\/a><\/p>\n

El binario ELF de 64 bits es una versi\u00f3n reestructurada y actualizada de Chaos que reelabora varias de sus funciones, manteniendo intacta la mayor\u00eda de sus funciones principales. Sin embargo, uno de los cambios m\u00e1s significativos se refiere a la eliminaci\u00f3n de funciones que permit\u00edan propagarse a trav\u00e9s de SSH y explotar las vulnerabilidades del enrutador.<\/p>\n

En su lugar se encuentra una nueva caracter\u00edstica de proxy SOCKS que permite que el sistema comprometido se utilice para transportar tr\u00e1fico, ocultando as\u00ed los verdaderos or\u00edgenes de la actividad maliciosa y dificultando que los defensores detecten y bloqueen el ataque.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

\u00abAdem\u00e1s, tambi\u00e9n se han cambiado varias funciones que anteriormente se cre\u00eda que eran heredadas de Kaiji, lo que sugiere que los actores de la amenaza reescribieron el malware o lo refactorizaron ampliamente\u00bb, a\u00f1adi\u00f3 Darktrace.<\/p>\n

La adici\u00f3n de la funci\u00f3n de proxy es probablemente una se\u00f1al de que los actores de amenazas detr\u00e1s del malware buscan monetizar a\u00fan m\u00e1s la botnet m\u00e1s all\u00e1 de la miner\u00eda de criptomonedas y el alquiler de DDoS, y mantenerse al d\u00eda con sus competidores en el mercado del cibercrimen ofreciendo una gama diversa de servicios il\u00edcitos.<\/p>\n

\u00abSi bien Chaos no es un malware nuevo, su continua evoluci\u00f3n pone de relieve la dedicaci\u00f3n de los ciberdelincuentes para expandir sus botnets y mejorar las capacidades a su disposici\u00f3n\u00bb, concluy\u00f3 Darktrace. \u00abEl reciente cambio en botnets como AISURU y Chaos para incluir servicios proxy como caracter\u00edsticas principales demuestra que la denegaci\u00f3n de servicio ya no es el \u00fanico riesgo que estos botnets representan para las organizaciones y sus equipos de seguridad\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Los investigadores de ciberseguridad han detectado una nueva variante de malware llamada Caoseso es capaz de atacar implementaciones en la nube mal configuradas, lo que marca una expansi\u00f3n de la infraestructura de destino de la botnet. \u00abEl malware del caos se dirige cada vez m\u00e1s a implementaciones en la nube mal configuradas, expandi\u00e9ndose m\u00e1s all\u00e1 […]<\/p>\n","protected":false},"author":1,"featured_media":422,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[405,27,1667,1670,24,70,1668,1669,97,312,88,1671,873],"class_list":["post-503","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-agrega","tag-apunta","tag-caos","tag-configuradas","tag-cyberdefensa-mx","tag-del","tag-implementaciones","tag-mal","tag-nube","tag-nueva","tag-proxy","tag-socks","tag-variante"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/503","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=503"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/503\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/422"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=503"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=503"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=503"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}