La nouvelle variante du malware de ciblage docker saute la cryptomiminage en faveur de la persistance, des baignoires et même du blocage des concurrents de l’accès aux API exposées.
Une souche nouvellement découverte d’un malware de cryptomine, signalé pour la première fois en juin 2025, a évolué pour cibler les API Docker exposées au lieu de compter sur les techniques d’évasion de Docker comme précédemment.
Selon des chercheurs en sécurité de l’équipe Hunt d’Akamai, la nouvelle variante s’est également déplacée pour mettre en place des délais et de la persistance, ainsi que des efforts pour bloquer l’accès aux API aux concurrents.
« La nouvelle souche a été vue pour la dernière fois en août 2025 dans l’infrastructure d’Akamai de pots de miel », a déclaré Yonathan Gilvarg, chercheur principal en matière de sécurité de l’équipe Akamai Hunt, dans un article de blog. « La variante découverte par Akamai Hunt ne laisse pas tomber un cryptominer mais laisse tomber un fichier contenant d’autres outils précédemment utilisés ainsi que des capacités d’infection au-delà de celles de la souche d’origine. »
La souche s’appuie sur une variante rapportée par Trend Micro en juin, mais diffère à la fois dans ses charges utiles binaires et ses méthodes d’accès initiales, a noté Gitvarg.
Accès initial via des API exposées
Les principaux vecteurs d’infection ici sont les API Docker mal configurées exposées à Internet, généralement sur le port 2375. Les attaquants les utilisent pour lancer un conteneur (en utilisant souvent l’image légère «Alpine» Linux), montez le système de fichiers hôte, puis exécutez des scripts encodés Base64 allés via TOR. Ces scripts, dans leur première étape, installent des outils comme Curl, Tor, des outils de balayage de masse, puis dans la deuxième étape Téléchargez et exécutent des composants malveillants.
Une fois à l’intérieur, le malware initie plusieurs mesures de persistance et d’évasion, qui incluent l’ajout d’une clé SSH public malveillante pour les clés autorisées de l’utilisateur racine, la mise en place de travaux CRON et le montage des répertoires d’hôtes pour maintenir la visibilité et le contrôle.
« L’analyse du script (utilisé dans la souche) indique qu’il effectue plusieurs étapes de persistance et d’évasion de défense, notamment le refus de l’accès futur à l’instance exposée, ce que nous n’avons pas vu dans les variantes précédentes », a déclaré Gilvarg.
Les pratiques courantes qui peuvent laisser les API Docker exposées à l’accès public incluent l’exécution de l’API Docker sans transport de la sécurité de la couche (TLS) pour la commodité, la liaison à 0.0.0.0 au lieu de Host local, les déploiements cloud avec des règles de pare-feu faibles et l’utilisation d’outils d’orchestration tiers ou de surveillance qui nécessitent un accès constant de l’API Docker.
La variante a des rebondissements créatifs
Définir la variante est son mouvement pour refuser aux autres l’accès à la même API Docker, monopolisant efficacement la surface d’attaque. Il essaie de modifier les paramètres de pare-feu (iptables, NFT, pare-feu-CMD, etc.) via un travail cron pour supprimer ou rejeter les connexions entrantes au port 2375. Un travail cron est une tâche planifiée sur les systèmes Linux qui s’exécute automatiquement à des moments ou des intervalles spécifiés.
« Le fichier ‘crontab’ est sur l’hôte lui-même, car l’attaquant l’a monté lorsqu’il a créé le conteneur », a ajouté Gitvarg. « Il s’agit d’une nouvelle section dans le code que nous n’avons pas vu dans les variantes précédentes, qui n’est actuellement pas détectée dans Virustotal. » De plus, le logiciel malveillant comprend la logique (même si elle n’est pas encore entièrement active) pour rechercher et potentiellement exploiter d’autres services, par exemple, Telnet (port 23) et le port de débogage à distance de Chrome (9222). Ceux-ci pourraient permettre un vol d’identification, une exfiltration de données ou un détournement de session de navigateur distant. Akamai prévient que si ces capacités ne sont pas encore entièrement exploitées, leur présence suggère que les logiciels malveillants peuvent évoluer vers un botnet plus complexe.
