11-29-2025, 04:27 PM
(This post was last modified: 12-13-2025, 03:57 PM by mrwebfeeder.)
Nombre:
Kinsing (también referenciado como H2Miner en múltiples reportes)
Categoría:
Cryptominer (Monero) / Botnet / Cloud & Container Malware (Linux-focused)
Fecha de descubrimiento:
Abril 2020 (reportes públicos tempranos lo documentan activo desde 2020)
Comportamiento (lo que hace y archivos que infecta):
- Kinsing es una operación de cryptojacking orientada a comprometer servidores y entornos cloud/container para minar Monero (XMR).
- Vector de entrada típico:
- Explotación de superficies expuestas o mal configuradas en infraestructura (por ejemplo, APIs/servicios accesibles públicamente en hosts con contenedores).
- Explotación de vulnerabilidades (RCE) en software expuesto para obtener ejecución remota y desplegar el loader/instalador del miner.
- Acciones posteriores a la intrusión:
- Descarga y ejecución de payloads (scripts + binarios ELF) para instalar el miner y sus componentes de control.
- Ejecución y persistencia del minero (frecuentemente XMRig o variantes adaptadas).
- Evasión y “monopolio” de recursos: en campañas observadas, intenta eliminar otros mineros/procesos rivales y desactivar herramientas/controles para mantener el rendimiento de minado.
- En variantes, se ha observado uso de técnicas de ocultamiento en Linux (por ejemplo, mecanismos tipo userland rootkit / LD_PRELOAD) para dificultar la detección del proceso y artefactos.
- Impacto:
- Alto consumo de CPU (y a veces GPU si disponible), degradación de rendimiento, costos cloud elevados, posible inestabilidad del host y afectación de workloads en Kubernetes/Docker.
Persistencia:
- Persistencia común observada en Linux/cloud:
- Cron jobs (incluyendo @reboot o ejecuciones periódicas) para relanzar el minero/loader.
- Servicios systemd o scripts de inicio (dependiendo de la distro) para reinicio automático tras reboot.
- Copias del payload en rutas del sistema o directorios temporales con nombres “legítimos”, buscando pasar desapercibido.
- En ambientes con contenedores, puede apoyarse en scripts que se ejecutan desde el host y reintroducen el payload aunque el contenedor sea recreado.
Hash real de referencia (SHA-256):
Mitigación con GetOverX Shield v3.0.2.0:
Notas opcionales:
- Kinsing es una campaña activa y evolutiva enfocada en infraestructura Linux/cloud; se le atribuye un historial de explotación de múltiples superficies (misconfiguraciones y vulnerabilidades) para desplegar mineros y mantener persistencia.
- También se documenta su relación con el ecosistema “H2Miner” y el uso de técnicas de ocultamiento (incluyendo enfoques tipo rootkit en algunas variantes).
Kinsing (también referenciado como H2Miner en múltiples reportes)
Categoría:
Cryptominer (Monero) / Botnet / Cloud & Container Malware (Linux-focused)
Fecha de descubrimiento:
Abril 2020 (reportes públicos tempranos lo documentan activo desde 2020)
Comportamiento (lo que hace y archivos que infecta):
- Kinsing es una operación de cryptojacking orientada a comprometer servidores y entornos cloud/container para minar Monero (XMR).
- Vector de entrada típico:
- Explotación de superficies expuestas o mal configuradas en infraestructura (por ejemplo, APIs/servicios accesibles públicamente en hosts con contenedores).
- Explotación de vulnerabilidades (RCE) en software expuesto para obtener ejecución remota y desplegar el loader/instalador del miner.
- Acciones posteriores a la intrusión:
- Descarga y ejecución de payloads (scripts + binarios ELF) para instalar el miner y sus componentes de control.
- Ejecución y persistencia del minero (frecuentemente XMRig o variantes adaptadas).
- Evasión y “monopolio” de recursos: en campañas observadas, intenta eliminar otros mineros/procesos rivales y desactivar herramientas/controles para mantener el rendimiento de minado.
- En variantes, se ha observado uso de técnicas de ocultamiento en Linux (por ejemplo, mecanismos tipo userland rootkit / LD_PRELOAD) para dificultar la detección del proceso y artefactos.
- Impacto:
- Alto consumo de CPU (y a veces GPU si disponible), degradación de rendimiento, costos cloud elevados, posible inestabilidad del host y afectación de workloads en Kubernetes/Docker.
Persistencia:
- Persistencia común observada en Linux/cloud:
- Cron jobs (incluyendo @reboot o ejecuciones periódicas) para relanzar el minero/loader.
- Servicios systemd o scripts de inicio (dependiendo de la distro) para reinicio automático tras reboot.
- Copias del payload en rutas del sistema o directorios temporales con nombres “legítimos”, buscando pasar desapercibido.
- En ambientes con contenedores, puede apoyarse en scripts que se ejecutan desde el host y reintroducen el payload aunque el contenedor sea recreado.
Hash real de referencia (SHA-256):
Code:
591d605c3bfebd4b28a1e57af9f066152d0bb4bf73e25d1ced8e83bc59675f6eMitigación con GetOverX Shield v3.0.2.0:
- Antivirus:
- Ejecutar escaneo completo del host (y rutas donde normalmente aterrizan droppers/miners):
- /tmp, /var/tmp, /dev/shm, $HOME, /var/lib, /usr/local/bin (según aplique al endpoint).
- Cuarentenar/eliminar binarios ELF y scripts asociados al miner/loader.
- Re-escanear para confirmar que no existan copias redundantes o reinstaladores.
- Firewall:
- Bloquear exposición no autorizada de superficies típicas atacadas:
- Docker API sin TLS (por ejemplo 2375) y restringirla a red administrativa/localhost.
- Restringir accesos a servicios de orquestación/gestión a redes de administración (principio de mínimo acceso).
- Cortar egress sospechoso:
- Bloquear conexiones a pools de minería y destinos no autorizados; aplicar allowlist de salida si el entorno lo permite.
- HIPS/EDR:
- Activar monitoreo de comportamiento enfocado a cloud/container hosts:
- Ejecución de curl/wget seguida de ejecución de binarios desde /tmp o /dev/shm.
- Creación/modificación de cron y unidades systemd inesperadas.
- Procesos con alto CPU sostenido asociados a binarios no firmados/no estándar.
- Aparición de técnicas de ocultamiento (procesos “invisibles”, uso anómalo de LD_PRELOAD, intentos de matar procesos de seguridad o mineros competidores).
- Respuesta recomendada:
- Kill process del minero y del instalador/loader.
- Bloqueo por hash del binario detectado (y artefactos secundarios).
- Generar evidencia: árbol de procesos, persistencia creada, e indicadores de red para hunting.
- Sandbox:
- Usar Sandbox para analizar:
- Scripts/instaladores descargados en servidores (especialmente “one-liners” de shell), imágenes de contenedor de origen no validado, y herramientas obtenidas fuera de repositorios oficiales.
- Señales a observar:
- Descarga de binarios ELF, modificación de cron/systemd, y conexiones a destinos de minería.
- Medidas posteriores al incidente:
- Corregir la causa raíz:
- Cerrar puertos expuestos, endurecer Docker/Kubernetes (TLS, autenticación, RBAC), y aplicar parches de servicios vulnerables.
- Rotar credenciales/keys administrativas si hubo indicios de acceso interactivo o robo de secretos.
- Auditar:
- Cron/systemd, scripts de inicio, usuarios nuevos, llaves SSH agregadas, jobs inusuales y cambios de firewall.
- Revisar costos/telemetría cloud y consumo de recursos para determinar ventana de compromiso y alcance.
Notas opcionales:
- Kinsing es una campaña activa y evolutiva enfocada en infraestructura Linux/cloud; se le atribuye un historial de explotación de múltiples superficies (misconfiguraciones y vulnerabilidades) para desplegar mineros y mantener persistencia.
- También se documenta su relación con el ecosistema “H2Miner” y el uso de técnicas de ocultamiento (incluyendo enfoques tipo rootkit en algunas variantes).