Expertos en ciberseguridad han detectado que grupos de hackers están aprovechando una vulnerabilidad crítica en Apache ActiveMQ (una falla que lleva casi dos años sin corregirse en muchos entornos) para acceder de forma persistente a sistemas Linux en la nube. Su objetivo: instalar un malware nuevo y sofisticado, bautizado como DripDropper, diseñado para descargar otras amenazas dentro del sistema comprometido.
Y si esto no fuera lo suficientemente llamativo, los atacantes hicieron algo poco común: después de explotar la falla, ellos mismos la parchearon. ¿Por qué? Para asegurarse de que otros grupos maliciosos no pudieran entrar por la misma puerta trasera, manteniendo así el acceso exclusivo y discreto durante más tiempo.
La falla en cuestión es CVE-2023-46604, una vulnerabilidad crítica con una puntuación CVSS de 10.0, lo que la coloca en el nivel más alto de severidad. Este fallo permite la ejecución remota de código (RCE), es decir, los atacantes pueden ejecutar comandos directamente en los sistemas afectados sin necesidad de autenticación.
Aunque el parche oficial se publicó en octubre de 2023, muchas organizaciones todavía no han actualizado sus servidores. Esto ha abierto la puerta a una ola de ataques por parte de distintos grupos, que están usando esta brecha para desplegar una variedad de malware peligroso en entornos Linux, entre ellos:
HelloKitty, una familia de ransomware conocida por sus ataques destructivos.
Rootkits para Linux, diseñados para ocultar procesos y mantener persistencia sin ser detectados.
GoTitan, una botnet escrita en Go que puede controlar sistemas de forma remota.
Godzilla, una shell web que permite a los atacantes moverse lateralmente dentro de las redes comprometidas.
Conoce más sobre: HelloKitty Ransomware Abusa de Fallo en ActiveMQ
Una vez que los atacantes logran acceder al sistema, su siguiente paso es asegurarse el control total. Para hacerlo, modifican las configuraciones del servicio sshd y habilitan el acceso como root, lo que les da privilegios elevados y control absoluto sobre el sistema. Esto les permite, entre otras cosas, eliminar fácilmente a DripDropper, un binario ELF empaquetado con PyInstaller, una herramienta común para distribuir aplicaciones Python como ejecutables.
Este malware no es un simple descargador. Tiene varias funciones diseñadas para pasar desapercibido y resistir análisis:
Requiere una contraseña para ejecutarse, lo que complica el trabajo de los investigadores y herramientas de análisis automatizadas.
Se conecta con cuentas de Dropbox controladas por los atacantes para recibir comandos y descargar más malware.
Despliega dos archivos principales: uno que gestiona la comunicación con Dropbox y monitorea procesos, y otro que modifica configuraciones del sistema para mantenerse activo.
Uno de los trucos más efectivos de DripDropper es su capacidad para mantenerse en el sistema incluso después de reinicios o intentos de limpieza. Para lograrlo, modifica el archivo 0anacron en varios directorios clave de cron:
/etc/cron.hourly/
/etc/cron.daily/
/etc/cron.weekly/
/etc/cron.monthly/
De esta forma, se asegura de ejecutarse regularmente en el tiempo, utilizando tareas programadas que muchas veces pasan desapercibidas.
El segundo archivo desplegado por DripDropper sigue en contacto con Dropbox, donde recibe instrucciones nuevas, y también vuelve a modificar las configuraciones de SSH si detecta algún cambio. Es decir, si lo intentas bloquear, se reinstala o reconfigura por sí solo.
Podría interesarte leer: PipeMagic: El Troyano que Usa Fallos de Windows para Lanzar Ransomware
Uno de los detalles más curiosos (y preocupantes) de esta campaña es que los propios atacantes aplican parches a la vulnerabilidad de ActiveMQ (CVE-2023-46604) después de explotarla. ¿La razón? Así se aseguran de que nadie más pueda usar la misma puerta trasera que ellos ya controlan.
Aplican estos parches descargando componentes de Apache Maven, lo que bloquea futuras intrusiones desde esa vía, sin afectar su acceso ya establecido. Como ya tienen otros métodos de persistencia funcionando (como las tareas cron y configuraciones modificadas), no necesitan seguir explotando la falla original.
Esta campaña es un recordatorio claro de lo importante que es no bajar la guardia en temas de ciberseguridad. Aquí te dejamos algunas recomendaciones clave para reforzar la seguridad de tu infraestructura:
Aplica parches lo antes posible. Muchas de las amenazas actuales se aprovechan de vulnerabilidades ya conocidas y con solución disponible. Si actualizas a tiempo, cierras la puerta antes de que los atacantes intenten entrar.
Restringe el acceso a servicios internos. Usa listas blancas de IP, VPNs u otros métodos de control de acceso para asegurarte de que solo usuarios autorizados puedan acceder a servicios sensibles.
Monitorea tus registros en la nube. Una buena visibilidad es clave. Revisa tus logs regularmente y busca patrones o comportamientos anómalos que puedan indicar una intrusión antes de que el daño sea mayor.
DripDropper es un malware diseñado con inteligencia y precisión. No solo infecta, sino que se adapta, se oculta y asegura su permanencia, todo mientras mantiene una comunicación constante con los atacantes a través de servicios legítimos como Dropbox.
Este tipo de amenazas subraya la importancia de mantener los sistemas actualizados, pero también de monitorear continuamente configuraciones clave y comportamientos anómalos.