Buscar

Detectan que API expuestas son el objetivo de una nueva cepa de malware

El equipo de detección de Akamai descubrió una nueva cepa de malware que ataca las API de Docker expuestas con capacidades de infección incrementadas

Ciudad de México, septiembre de 2025. Cuanto más interconectados están nuestros ecosistemas digitales, más lugares donde los atacantes pueden esconderse, incluso cambiando de estrategia al ser detectados. Cuando se descubre y reporta un nuevo vector de amenaza o cepa de malware, un agente de amenazas puede tardar solo horas o días en modificarlo para volver a evadir la detección.

El equipo de Akamai Hunt descubrió una nueva campaña activa que apunta a las API de Docker expuestas. Esta nueva cepa parece utilizar herramientas similares a la original, pero puede tener un objetivo final diferente, incluida la posibilidad de establecer las bases de una red de bots compleja.

Entre los hallazgos más contundentes del equipo de detección de Akamai Technologies, se encontró: 

  • Una nueva cepa de malware está atacando las API de Docker expuestas, con capacidades de infección mejoradas; se observó por última vez en agosto de 2025 dentro de la infraestructura honeypot de Akamai.
  • La primera versión de este malware fue reportada en junio de 2025 por Trend Micro, que identificó un criptominero que se estaba implementando a través de un dominio Tor.
  • La variante detectada por Akamai tiene un vector de acceso inicial diferente y bloquea a otros atacantes para que no puedan acceder a la API de Docker expuesta.
  • En lugar de instalar un criptominero, la nueva variante incluye herramientas utilizadas previamente y funciones de infección más sofisticadas.
  • Establece persistencia y defensas avanzadas, incluida la adición de la clave SSH del atacante para acceso root y la creación de trabajos cron para ejecutar comandos y manipular firewalls locales (firewall-cmd, ufw, pfctl, iptables, nft) para bloquear puertos.
  • Se dirige a los puertos 2375 (API de Docker), 23 (Telnet) y 9222 (depuración remota de Chrome/Chromium), con posibles funcionalidades para DDoS, robo de datos y control del navegador.

Como parte de una investigación de rutina, el equipo de Akamai Hunt detectó una solicitud HTTP a su API de Docker desde varias direcciones IP. A través del monitoreo continuo de anomalías y amenazas potenciales, se puede garantizar una detección e investigación rápidas antes de que se conviertan en amenazas reales.

Prevención y mitigación frente a amenazas

Si el equipo de IT de su compañía detecta una infección o está tratando de prevenir que ocurra en primer lugar, estas cuatro sugerencias pueden ayudar a mantener su entorno digital más seguro:

  1. Segmentación de red: Aísle su entorno Docker de otras partes de su red. Utilice la segmentación de red para limitar la capacidad de los atacantes de moverse lateralmente dentro de su infraestructura y limitar el acceso a la API de Docker.
  2. Exposición: Habilite la menor cantidad posible de servicios a internet. Este malware explota los puertos 2375, 9222 y 23 accediendo a ellos desde internet. Bloquear dicho acceso puede mitigar totalmente la amenaza.
  3. Utilizar puertos seguros: Al usar el puerto del depurador de Chrome (9222), utilice direcciones IP remotas específicas.
  4. Rotación de contraseñas: Al instalar un nuevo dispositivo, cambie las credenciales predeterminadas por una contraseña segura.

Además de estos mecanismos, existe también la opción de conectar un LLM para generar respuestas dinámicas, de modo que los atacantes piensen que están hablando con una API cuando en realidad es un LLM que se hace pasar por la respuesta de la API real.

Esta cepa de malware Docker recién descubierta pone de relieve la necesidad de que la comunidad de investigación de amenazas continúe con el monitoreo y observación activa para ayudar a los defensores de red. Los atacantes siguen estando a la vanguardia, a menudo aprovechando amenazas o vulnerabilidades conocidas y modificándolas para evadir la detección o, peor aún, preparándose para causar aún más estragos en el futuro.

Los atacantes pueden obtener un control significativo sobre los sistemas afectados por el abuso de API. Es fundamental segmentar las redes, limitar la exposición de los servicios a internet y proteger las credenciales predeterminadas. Al adoptar estas medidas, las organizaciones pueden reducir significativamente su vulnerabilidad a estas amenazas.

Acerca de Akamai

Akamai es la empresa de ciberseguridad y computación en la nube que impulsa y protege las empresas en línea. Nuestras soluciones de seguridad líderes en el mercado, inteligencia de amenazas superior y un equipo de operaciones global brindan defensa integral para proteger los datos y aplicaciones empresariales en todas partes. Las soluciones integrales de computación en la nube de Akamai ofrecen rendimiento y asequibilidad en la plataforma más distribuida del mundo. Las empresas globales confían en Akamai para obtener la confiabilidad, la escalabilidad y la experiencia líderes en la industria que necesitan para expandir su negocio con confianza. Obtenga más información en akamai.com y akamai.com/blog, se une a Akamai Technologies en desconocido y LinkedIn.