Los investigadores de seguridad cibernética han descubierto un resurgimiento significativo de la botnet Prometei, una sofisticada operación de malware que se dirige a servidores de Linux para la minería de criptomonedas y el robo de credenciales.
Esta última campaña, observada desde marzo de 2025, demuestra la naturaleza evolutiva del malware criptominado y su persistente amenaza para la infraestructura empresarial en todo el mundo.
La Botnet Prometei representa una familia de malware de doble amenaza que abarca las variantes de Linux y Windows, diseñada principalmente para secuestrar recursos computacionales para la minería de criptomonedas de Monero al tiempo que roba credenciales de sistemas comprometidos.
Analistas de Palo Alto Networks identificado Esta nueva ola de ataques en marzo de 2025, señalando mejoras significativas en las capacidades de sigilo y la sofisticación operativa del malware en comparación con las iteraciones anteriores.
Botnet funciona a través de una arquitectura modular que permite a los atacantes controlar de forma remota los sistemas infectados, implementar cargas útiles adicionales y mantener el acceso persistente a las redes comprometidas.
Originalmente descubierto en julio de 2020 con su variante de Windows tomando precedencia inicial, la versión de Linux surgió en diciembre de 2020 y desde entonces se ha sometido a un desarrollo continuo.
El malware emplea múltiples vectores de ataque que incluyen ataques de credenciales de fuerza bruta, explotación de la notoria vulnerabilidad de EternalBlue asociada con el ransomware WannaCry y la manipulación de las vulnerabilidades de protocolo de bloques de mensajes para lograr un movimiento lateral dentro de las redes objetivo.
Este enfoque múltiple permite que la prometa expandir rápidamente su huella una vez que obtiene el acceso inicial a los sistemas de una organización.
La motivación financiera detrás de las operaciones de Prometei parece clara, y los investigadores no encuentran evidencia que vincule la botnet con los actores de estado-nación.
En cambio, la campaña demuestra características consistentes con las empresas cibercriminales impulsadas por las ganancias que buscan monetizar la infraestructura comprometida a través de la minería de criptomonedas y cosechando de manera oportunista credenciales valiosas para una posible explotación o venta secundaria en los mercados subterráneos.
La iteración actual incorpora técnicas de evasión avanzada que incluyen un algoritmo de generación de dominio para la resistencia a la infraestructura de comando y control y las capacidades de autoapotación que permiten que el malware se adapte a las defensas de seguridad dinámicamente.
Estas mejoras hacen que la detección y la mitigación sean significativamente más desafiantes para las soluciones de seguridad tradicionales.
Mecanismo de infección técnica y distribución
Las últimas variantes de PrometeI emplean mecanismos sofisticados de distribución y desempaquetado que complican significativamente los esfuerzos de análisis.
El malware se distribuye a través de HTTP obtener solicitudes a un servidor específico ubicado en hxxp (: //) 103.41.204 (.) 104/k.php? A = x86_64, con variaciones que permiten la asignación dinámica de Parentid a través del parámetro HXXP (: //) 103.41.204 (.) 104/k.php? A = x86_64,.
Interpretación del remolque Upx Packheader y Overlay_offset para la muestra (Fuente – Palo Alto Networks)
A pesar del nombre de archivo. PHP engañoso, la carga útil consiste en un ejecutable ELF de 64 bits diseñado específicamente para sistemas Linux, que representa una táctica de ofuscación deliberada.
El malware emplea la compresión Ultimate Packer para ejecutables (UPX) para reducir el tamaño del archivo y complicar los procedimientos de análisis estático.
Sin embargo, la implementación incluye una modificación crítica que evita que las herramientas de descompresión de UPX estándar funcionen correctamente.
Los desarrolladores agregan un remolque JSON de configuración personalizada al ejecutable empacado, interrumpiendo la capacidad de la herramienta UPX para localizar metadatos esenciales, incluidos el remolque Packheader y Overlay_Offset necesario para una descompresión exitosa.
Este avance de configuración contiene parámetros operativos esenciales que varían entre las versiones de malware. Mientras que la versión dos admitió campos básicos como config, ID y enckey, las versiones más nuevas y cuatro incorporan parámetros adicionales que incluyen los campos de ParentId, ParentHostName, ParentIP e IP.
Estas mejoras permiten la comunicación de comando y control más sofisticada y las capacidades jerárquicas de gestión de botnet.
Una vez implementado con éxito, Prometei implementa el reconocimiento integral del sistema mediante la recopilación de información del procesador de /Proc /Cpuinfo, detalles de la placa base a través de DMIDECODE-Type Baseboard comandos, especificaciones del sistema operativo de /etc /OS-Lelease o /etc /redhat-release, datos de tiempo inferior del sistema e información de kernel a través de comandos uname -a.
Esta recopilación de inteligencia permite al malware optimizar sus operaciones mineras en función de los recursos de hardware disponibles al tiempo que proporciona a los atacantes un mapeo de infraestructura detallado para posibles actividades de movimiento lateral.
¿Eres de los equipos SOC/DFIR! – Interactuar con malware en el sandbox y encontrar IOC relacionados. – Solicitar prueba gratuita de 14 días
