A principios de marzo de 2025 surgió una campaña sigilosa que capitalizó una falla crítica de ejecución de código remoto en Geoserver (CVE-2024-36401) para comprometer los servidores geoespaciales expuestos públicamente.
Los atacantes explotaron la inyección de consultas JXPath dentro de las bibliotecas de Apache Commons, permitiendo la ejecución del código arbitrario a través de solicitudes XML diseñadas.
Este vector permitió el despliegue silencioso de ejecutables personalizados que aprovecharon los kits de desarrollo de software de ingresos pasivos legítimos (SDK) y las aplicaciones, convirtiendo efectivamente las redes de víctimas en granjas proxy ilícitas.
A los pocos días de la onda inicial, los analistas de Palo Alto Networks anotado Un aumento significativo en la actividad de sondeo contra instancias vulnerables de Geoserver.
Distribución de geoserver expuesta en los cinco países donde se alojan más comúnmente (Fuente – Palo Alto Networks)
La telemetría de Cortex Xpanse reveló más de 3.700 servidores de acceso público solo en la primera semana de mayo de 2025, subrayando la vasta superficie de ataque disponible para los actores de amenaza.
Estos adversarios se movieron rápidamente para evadir la detección, la distribución giratoria IPS de 37.187.74 (.) 75 a 185.246.84 (.) 189 y la expansión de la infraestructura de backend para incluir un servicio de intercambio de archivos de estilo transferido en el puerto 8080.
La estrategia de monetización detrás de esta campaña favoreció el sigilo a largo plazo sobre el consumo rápido de recursos.
En lugar de desplegar mineros de criptomonedas ruidosos, los atacantes entregaron dos cargas útiles centrales: un SDK mal utilizado que agregó silenciosamente sesiones de intercambio de ancho de banda en hosts infectados, y una aplicación mal utilizada que creó directorios ocultos y lanzó ejecuciones con huellas de recursos mínimos.
Ambas cargas útiles imitaban los servicios legítimos de ingresos pasivos, haciéndolos difíciles de detectar a través de defensas basadas en la firma.
Las víctimas no se dieron cuenta cuando sus máquinas enviaban el tráfico web en silencio o participaron en redes de proxy residenciales.
Al integrar binarios compilados genuinos de dardos, los atacantes explotaron las capacidades multiplataforma para dirigir los servidores de Linux y las firmas de detección de derivación sintonizadas para lenguajes de malware más comunes.
Los indicadores de compromiso incluyeron conexiones a HXXP: //37.187.74 (.) 75: 8080 y Hxxp: //64.226.112 (.) 52: 8080, donde los scripts de etapa one como Z593 se obtuvieron steres adicionales.
Mecanismo de infección Dive Deep Dive
Uno de los aspectos más insidiosos de esta campaña radica en su explotación de las funciones de extensión de JXPATH.
Al recibir una solicitud GetPropertyValue elaborada, el mecanismo de accesor de propiedades de Geoserver pasó una expresión controlada por el atacante al método ITeratePointers.
Esta carga útil luego invocó la función javax.lang.runtime.exec, activando la ejecución del comando remoto.
Código malicioso que contiene un JXPath que hace referencia a una función de ejecución de Java (fuente – Palo Alto Networks)
Sigue un fragmento que ilustra esta inyección:
Tras una ejecución exitosa, Z593 actuó como un stager, creando una carpeta oculta en /var/tmp/.cache y obteniendo dos cargas útiles adicionales: Z401, que estableció el entorno de ejecución, y Z402, que lanzó el ejecutable principal con una clave SDK incorporada.
Carga útil de un exploit encontrado en la naturaleza (fuente – Palo Alto Networks)
Al encadenar estas etapas, los atacantes lograron persistencia y aseguraron que los procesos de compartir el ancho de banda se reanudaron automáticamente en el reinicio.
A través de este meticuloso enfoque de varias etapas, los actores de amenaza han demostrado cómo aprovechar los SDK legítimos y los servicios de intercambio de archivos pueden facilitar la monetización no detectada de los recursos de la red.
Se insta a los equipos de seguridad a aplicar los parches de Geoserver de inmediato, controlar las conexiones salientes con IP maliciosas conocidas y desplegar análisis conductuales capaces de identificar consultas anómalas de JXPATH para frustrar campañas similares.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
