GETOVERX FORUM Community Support
Kinsing – Cryptominer/Botnet – 2020 - Printable Version

+- GETOVERX FORUM Community Support (https://forum.getoverx.com)
+-- Forum: Malware Docs (https://forum.getoverx.com/forumdisplay.php?fid=12)
+--- Forum: Cryptojackers (https://forum.getoverx.com/forumdisplay.php?fid=27)
+--- Thread: Kinsing – Cryptominer/Botnet – 2020 (/showthread.php?tid=83)

Kinsing – Cryptominer/Botnet – 2020 - mrwebfeeder - 11-29-2025

Nombre:
Kinsing (también referenciado como H2Miner en múltiples reportes)

Categoría:
Cryptominer (Monero) / Botnet / Cloud & Container Malware (Linux-focused)

Fecha de descubrimiento:
Abril 2020 (reportes públicos tempranos lo documentan activo desde 2020)

Comportamiento (lo que hace y archivos que infecta):
- Kinsing es una operación de cryptojacking orientada a comprometer servidores y entornos cloud/container para minar Monero (XMR).
- Vector de entrada típico:
  - Explotación de superficies expuestas o mal configuradas en infraestructura (por ejemplo, APIs/servicios accesibles públicamente en hosts con contenedores).
  - Explotación de vulnerabilidades (RCE) en software expuesto para obtener ejecución remota y desplegar el loader/instalador del miner.
- Acciones posteriores a la intrusión:
  - Descarga y ejecución de payloads (scripts + binarios ELF) para instalar el miner y sus componentes de control.
  - Ejecución y persistencia del minero (frecuentemente XMRig o variantes adaptadas).
  - Evasión y “monopolio” de recursos: en campañas observadas, intenta eliminar otros mineros/procesos rivales y desactivar herramientas/controles para mantener el rendimiento de minado.
  - En variantes, se ha observado uso de técnicas de ocultamiento en Linux (por ejemplo, mecanismos tipo userland rootkit / LD_PRELOAD) para dificultar la detección del proceso y artefactos.
- Impacto:
  - Alto consumo de CPU (y a veces GPU si disponible), degradación de rendimiento, costos cloud elevados, posible inestabilidad del host y afectación de workloads en Kubernetes/Docker.

Persistencia:
- Persistencia común observada en Linux/cloud:
  - Cron jobs (incluyendo @reboot o ejecuciones periódicas) para relanzar el minero/loader.
  - Servicios systemd o scripts de inicio (dependiendo de la distro) para reinicio automático tras reboot.
  - Copias del payload en rutas del sistema o directorios temporales con nombres “legítimos”, buscando pasar desapercibido.
- En ambientes con contenedores, puede apoyarse en scripts que se ejecutan desde el host y reintroducen el payload aunque el contenedor sea recreado.

Hash real de referencia (SHA-256):
Code:
591d605c3bfebd4b28a1e57af9f066152d0bb4bf73e25d1ced8e83bc59675f6e

Mitigación con GetOverX Shield v3.0.2.0:
  • Antivirus:
    - Ejecutar escaneo completo del host (y rutas donde normalmente aterrizan droppers/miners):
      - /tmp, /var/tmp, /dev/shm, $HOME, /var/lib, /usr/local/bin (según aplique al endpoint).
    - Cuarentenar/eliminar binarios ELF y scripts asociados al miner/loader.
    - Re-escanear para confirmar que no existan copias redundantes o reinstaladores.

  • Firewall:
    - Bloquear exposición no autorizada de superficies típicas atacadas:
      - Docker API sin TLS (por ejemplo 2375) y restringirla a red administrativa/localhost.
      - Restringir accesos a servicios de orquestación/gestión a redes de administración (principio de mínimo acceso).
    - Cortar egress sospechoso:
      - Bloquear conexiones a pools de minería y destinos no autorizados; aplicar allowlist de salida si el entorno lo permite.

  • HIPS/EDR:
    - Activar monitoreo de comportamiento enfocado a cloud/container hosts:
      - Ejecución de curl/wget seguida de ejecución de binarios desde /tmp o /dev/shm.
      - Creación/modificación de cron y unidades systemd inesperadas.
      - Procesos con alto CPU sostenido asociados a binarios no firmados/no estándar.
      - Aparición de técnicas de ocultamiento (procesos “invisibles”, uso anómalo de LD_PRELOAD, intentos de matar procesos de seguridad o mineros competidores).
    - Respuesta recomendada:
      - Kill process del minero y del instalador/loader.
      - Bloqueo por hash del binario detectado (y artefactos secundarios).
      - Generar evidencia: árbol de procesos, persistencia creada, e indicadores de red para hunting.

  • Sandbox:
    - Usar Sandbox para analizar:
      - Scripts/instaladores descargados en servidores (especialmente “one-liners” de shell), imágenes de contenedor de origen no validado, y herramientas obtenidas fuera de repositorios oficiales.
    - Señales a observar:
      - Descarga de binarios ELF, modificación de cron/systemd, y conexiones a destinos de minería.

  • Medidas posteriores al incidente:
    - Corregir la causa raíz:
      - Cerrar puertos expuestos, endurecer Docker/Kubernetes (TLS, autenticación, RBAC), y aplicar parches de servicios vulnerables.
    - Rotar credenciales/keys administrativas si hubo indicios de acceso interactivo o robo de secretos.
    - Auditar:
      - Cron/systemd, scripts de inicio, usuarios nuevos, llaves SSH agregadas, jobs inusuales y cambios de firewall.
    - Revisar costos/telemetría cloud y consumo de recursos para determinar ventana de compromiso y alcance.

Notas opcionales:
- Kinsing es una campaña activa y evolutiva enfocada en infraestructura Linux/cloud; se le atribuye un historial de explotación de múltiples superficies (misconfiguraciones y vulnerabilidades) para desplegar mineros y mantener persistencia.
- También se documenta su relación con el ecosistema “H2Miner” y el uso de técnicas de ocultamiento (incluyendo enfoques tipo rootkit en algunas variantes).