11-29-2025, 03:43 PM
(This post was last modified: 12-13-2025, 04:14 PM by mrwebfeeder.)
Nombre:
LemonDuck (también referenciado como “Lemon Duck” en algunos reportes; campaña tipo botnet con comportamiento tipo worm)
Categoría:
Cryptominer (Monero/XMR) / Botnet con propagación lateral
Fecha de descubrimiento:
c. 2019 (observado ampliamente en campañas 2019–2021, con actividad posterior en variantes)
Comportamiento (lo que hace y archivos que infecta):
- LemonDuck es una operación de cryptojacking que busca minar Monero (XMR) en sistemas Windows (y entornos mixtos en campañas), con una fuerte orientación a movimiento lateral y propagación dentro de redes.
- Cómo llega al equipo (vectores típicos):
- Explotación de SMB/RCE en redes con hosts vulnerables o mal segmentados (campañas han aprovechado servicios expuestos y entornos sin parches).
- Abuso de credenciales débiles (por ejemplo, contraseñas comunes) y uso de herramientas administrativas para propagarse.
- En algunas campañas, también se ha observado distribución por spam/phishing y/o ejecución inicial en servidores (dependiendo del entorno).
- Qué hace una vez ejecutado:
- Descarga y ejecuta componentes (scripts + binarios) para instalar el minero y mantenerlo activo.
- Implementa movimiento lateral usando técnicas de administración remota del propio Windows (por ejemplo: WMI, tareas programadas remotas, ejecución por servicios/SMB) para comprometer más equipos.
- Realiza acciones para evadir o dificultar la remoción:
- Terminación de procesos “competidores” (otros mineros) y, en algunos casos, intentos de degradar/alterar controles de seguridad.
- Ocultamiento de procesos mediante inyección, nombres similares a procesos legítimos, ejecución desde rutas temporales o uso de “watchdogs” (relanzadores).
- Impacto:
- CPU anormalmente alta (y en algunos casos, picos constantes), caída de desempeño en estaciones/servidores.
- Incremento de costos (si aplica a entornos cloud/VDI) y reducción de disponibilidad de servicios.
Persistencia:
- Persistencia típica observada en campañas de LemonDuck:
- Tareas programadas (locales y a veces remotas) para relanzar miner/loader al inicio o periódicamente.
- Servicios instalados con nombres que intentan pasar por legítimos, usados como “watchdog”.
- Claves Run/RunOnce en el Registro o accesos directos de inicio (según variante).
- Copias de componentes en rutas como %TEMP%, %APPDATA%, %ProgramData% o directorios de sistema con nombres engañosos.
Hash real de referencia (SHA-256):
Mitigación con GetOverX Shield v3.0.2.0:
Notas opcionales:
- LemonDuck suele comportarse como campaña de cryptomining con capacidades de propagación (tipo worm) y técnicas de persistencia múltiples; en entornos empresariales el mayor riesgo es la expansión interna (lateral movement) y el consumo sostenido de recursos.
LemonDuck (también referenciado como “Lemon Duck” en algunos reportes; campaña tipo botnet con comportamiento tipo worm)
Categoría:
Cryptominer (Monero/XMR) / Botnet con propagación lateral
Fecha de descubrimiento:
c. 2019 (observado ampliamente en campañas 2019–2021, con actividad posterior en variantes)
Comportamiento (lo que hace y archivos que infecta):
- LemonDuck es una operación de cryptojacking que busca minar Monero (XMR) en sistemas Windows (y entornos mixtos en campañas), con una fuerte orientación a movimiento lateral y propagación dentro de redes.
- Cómo llega al equipo (vectores típicos):
- Explotación de SMB/RCE en redes con hosts vulnerables o mal segmentados (campañas han aprovechado servicios expuestos y entornos sin parches).
- Abuso de credenciales débiles (por ejemplo, contraseñas comunes) y uso de herramientas administrativas para propagarse.
- En algunas campañas, también se ha observado distribución por spam/phishing y/o ejecución inicial en servidores (dependiendo del entorno).
- Qué hace una vez ejecutado:
- Descarga y ejecuta componentes (scripts + binarios) para instalar el minero y mantenerlo activo.
- Implementa movimiento lateral usando técnicas de administración remota del propio Windows (por ejemplo: WMI, tareas programadas remotas, ejecución por servicios/SMB) para comprometer más equipos.
- Realiza acciones para evadir o dificultar la remoción:
- Terminación de procesos “competidores” (otros mineros) y, en algunos casos, intentos de degradar/alterar controles de seguridad.
- Ocultamiento de procesos mediante inyección, nombres similares a procesos legítimos, ejecución desde rutas temporales o uso de “watchdogs” (relanzadores).
- Impacto:
- CPU anormalmente alta (y en algunos casos, picos constantes), caída de desempeño en estaciones/servidores.
- Incremento de costos (si aplica a entornos cloud/VDI) y reducción de disponibilidad de servicios.
Persistencia:
- Persistencia típica observada en campañas de LemonDuck:
- Tareas programadas (locales y a veces remotas) para relanzar miner/loader al inicio o periódicamente.
- Servicios instalados con nombres que intentan pasar por legítimos, usados como “watchdog”.
- Claves Run/RunOnce en el Registro o accesos directos de inicio (según variante).
- Copias de componentes en rutas como %TEMP%, %APPDATA%, %ProgramData% o directorios de sistema con nombres engañosos.
Hash real de referencia (SHA-256):
Code:
6715f186e4dde484a897ce406f476192eb3cd0bc3bc3760bfe63ddead87c622eMitigación con GetOverX Shield v3.0.2.0:
- Antivirus:
- Ejecutar Full Scan en el host afectado y cuarentenar/eliminar:
- Binarios del miner, loaders y “watchdogs” (relanzadores).
- Scripts descargados (BAT/PS1/VBS) y artefactos en %TEMP%, %APPDATA%, %LOCALAPPDATA% y C:\ProgramData\.
- Repetir un segundo escaneo tras limpiar persistencia para confirmar que no reaparecen componentes (señal de reinfección o persistencia activa).
- Firewall:
- Restringir propagación y superficie SMB:
- Bloquear/segmentar SMB (445) entre segmentos que no lo requieran (especialmente entre estaciones de trabajo).
- Permitir SMB solo donde sea estrictamente necesario (servidores de archivos, DCs, administración controlada).
- Aplicar control de salida (egress):
- Bloquear conexiones salientes no justificadas desde hosts comprometidos para cortar pools de minería y descargas de payloads.
- Si hay múltiples equipos afectados, considerar aislar temporalmente el/los segmentos hasta erradicar la propagación.
- HIPS/EDR:
- Reglas de detección recomendadas:
- CPU anómala sostenida por procesos no esperados, especialmente en servidores.
- Cadena de ejecución sospechosa:
- cmd.exe/powershell.exe iniciados desde procesos de servicio o desde rutas temporales.
- Creación masiva de tareas programadas (locales o remotas) y servicios nuevos sin aprobación.
- Indicadores de movimiento lateral:
- WMI remoto, ejecución remota, creación de servicios remotos, uso inusual de credenciales administrativas en la red.
- Señales de ocultamiento:
- procesos que se reinician al matarlos (watchdog), binarios en rutas temporales con nombres legítimos, inyección.
- Respuesta automática sugerida:
- Kill process del miner y su watchdog.
- Block by hash de binarios identificados.
- Registro del árbol de procesos + eventos de red para hunting y contención.
- Sandbox:
- Usar Sandbox para analizar:
- Scripts/archivos encontrados en el host (PS1/BAT/EXE) antes de ejecutarlos para “validar”.
- Instaladores o adjuntos sospechosos si se sospecha entrada por spam/descarga.
- Señales clave:
- Descarga de binarios, creación de tareas/servicios, y actividad de red compatible con minería.
- Medidas posteriores al incidente:
- Corregir causa raíz y evitar reinfección:
- Aplicar parches del sistema operativo y endurecer SMB (deshabilitar SMBv1 si aún existe, aplicar segmentación y mínimos privilegios).
- Revisar credenciales: cambiar contraseñas administrativas, deshabilitar cuentas no usadas y activar políticas anti-fuerza bruta.
- Revisar persistencia y artefactos:
- Tareas programadas, servicios, Run/RunOnce, binarios en ProgramData/Temp.
- Hunting lateral:
- Buscar en otros hosts eventos similares (CPU alta, tareas/servicios nuevos, ejecución remota) para detectar propagación.
Notas opcionales:
- LemonDuck suele comportarse como campaña de cryptomining con capacidades de propagación (tipo worm) y técnicas de persistencia múltiples; en entornos empresariales el mayor riesgo es la expansión interna (lateral movement) y el consumo sostenido de recursos.