Se ha observado una campaña en curso dirigida a clientes de Amazon Web Services (AWS) que utilizan credenciales de gestión de identidad y acceso (IAM) comprometidas para permitir la minería de criptomonedas.
La actividad, detectada por primera vez por el servicio de detección de amenazas administrado GuardDuty de Amazon y sus sistemas automatizados de monitoreo de seguridad el 2 de noviembre de 2025, emplea técnicas de persistencia nunca antes vistas para obstaculizar la respuesta a incidentes y continuar sin obstáculos, según un nuevo informe compartido por el gigante tecnológico antes de su publicación.
«Operando desde un proveedor de alojamiento externo, el actor de amenazas enumeró rápidamente recursos y permisos antes de implementar recursos de criptominería en ECS y EC2», dijo Amazon. «A los 10 minutos de que el actor de amenazas obtuviera el acceso inicial, los criptomineros estaban operativos».
La cadena de ataque de varias etapas esencialmente comienza cuando el adversario desconocido aprovecha las credenciales de usuario de IAM comprometidas con privilegios similares a los de administrador para iniciar una fase de descubrimiento diseñada para sondear el entorno en busca de cuotas de servicios EC2 y probar sus permisos invocando la API RunInstances con el indicador «DryRun» configurado.
Esta habilitación del indicador «DryRun» es crucial e intencional, ya que permite a los atacantes validar sus permisos de IAM sin lanzar instancias, evitando así acumular costos y minimizando su rastro forense. El objetivo final del paso es determinar si la infraestructura de destino es adecuada para implementar el programa minero.
La infección pasa a la siguiente etapa cuando el actor de amenazas llama a CreateServiceLinkedRole y CreateRole para crear roles de IAM para grupos de escalado automático y AWS Lambda, respectivamente. Una vez creados los roles, la política «AWSLambdaBasicExecutionRole» se adjunta al rol de Lambda.
En la actividad observada hasta la fecha, se dice que el actor de amenazas creó docenas de clústeres ECS en todo el entorno, superando en algunos casos los 50 clústeres ECS en un solo ataque.
«Luego llamaron a RegisterTaskDefinition con una imagen maliciosa de DockerHub yenik65958/secret:user», dijo Amazon. «Con la misma cadena utilizada para la creación del clúster, el actor creó un servicio, utilizando la definición de tarea para iniciar la minería criptográfica en los nodos ECS Fargate».
La imagen de DockerHub, que desde entonces ha sido eliminada, está configurada para ejecutar un script de shell tan pronto como se implementa para iniciar la minería de criptomonedas utilizando el algoritmo de minería RandomVIREL. Además, se ha observado que el actor de amenazas crea grupos de escalamiento automático que están configurados para escalar de 20 a 999 instancias en un esfuerzo por explotar las cuotas de servicios de EC2 y maximizar el consumo de recursos.
La actividad de EC2 se ha centrado tanto en instancias de GPU y aprendizaje automático de alto rendimiento como en instancias de computación, memoria y de uso general.
Lo que distingue a esta campaña es el uso de la acción ModifyInstanceAttribute con el parámetro «disableApiTermination» establecido en «True», lo que evita que una instancia finalice mediante la consola, la interfaz de línea de comandos o la API de Amazon EC2. Esto, a su vez, tiene el efecto de exigir a las víctimas que vuelvan a habilitar la terminación de API antes de eliminar los recursos afectados.
«La protección de terminación de instancias puede afectar las capacidades de respuesta a incidentes e interrumpir los controles de remediación automatizados», dijo Amazon. «Esta técnica demuestra una comprensión de los procedimientos comunes de respuesta de seguridad y la intención de maximizar la duración de las operaciones mineras».
Esta no es la primera vez que sale a la luz el riesgo de seguridad asociado con ModifyInstanceAttribute. En abril de 2024, el investigador de seguridad Harsha Koushik demostró una prueba de concepto (PoC) que detallaba cómo se puede abusar de la acción para hacerse cargo de instancias, exfiltrar credenciales de rol de instancia e incluso tomar el control de toda la cuenta de AWS.
Además, los ataques implican la creación de una función Lambda que puede ser invocada por cualquier principal y un usuario de IAM «user-x1x2x3x4» al que se adjunta la política administrada de AWS «AmazonSESFullAccess», otorgando al adversario acceso completo a Amazon Simple Email Service (SES) para probablemente llevar a cabo ataques de phishing.
Para protegerse contra la amenaza, Amazon insta a los clientes de AWS a seguir los pasos a continuación:
- Aplique controles sólidos de gestión de identidad y acceso
- Implementar credenciales temporales en lugar de claves de acceso a largo plazo
- Utilice la autenticación multifactor (MFA) para todos los usuarios
- Aplicar el principio de privilegio mínimo (PoLP) a los principales de IAM para restringir el acceso
- Agregue controles de seguridad de contenedores para escanear en busca de imágenes sospechosas
- Monitorear solicitudes de asignación de CPU inusuales en definiciones de tareas de ECS
- Utilice AWS CloudTrail para registrar eventos en los servicios de AWS
- Asegúrese de que AWS GuardDuty esté habilitado para facilitar los flujos de trabajo de respuesta automatizados
«El uso programado por parte del actor de amenazas de múltiples servicios informáticos, en combinación con técnicas de persistencia emergentes, representa un avance significativo en las metodologías de ataque de criptominería».
