Un nuevo malware para Linux, conocido como Koske, está llamando la atención por su enfoque poco convencional: se oculta dentro de imágenes JPEG de osos panda que parecen totalmente inofensivas. Pero detrás de esa apariencia adorable se esconde una amenaza real que ataca directamente la memoria del sistema.
Según investigaciones recientes, Koske es un malware bastante sofisticado que parece haber sido desarrollado con la ayuda de inteligencia artificial. Por su comportamiento altamente adaptativo, todo apunta a que sus creadores podrían estar usando modelos avanzados de lenguaje o herramientas automatizadas para programarlo y ajustarlo a distintos entornos.
El objetivo principal de este malware no es robar datos directamente, sino algo más silencioso pero igual de dañino: minar criptomonedas. Una vez que Koske se instala en un sistema Linux, comienza a desplegar mineros de criptomonedas optimizados tanto para CPU como para GPU, utilizando los recursos del equipo infectado sin que el usuario lo note.
Se estima que puede extraer más de 18 tipos diferentes de criptomonedas, lo que genera una carga significativa en el hardware y puede afectar seriamente el rendimiento de los servidores afectados.
Durante el análisis también se identificaron ciertos detalles curiosos que podrían dar pistas sobre su origen. Por ejemplo, se detectaron direcciones IP con sede en Serbia, fragmentos de código con frases en serbio y algunos elementos escritos en eslovaco dentro de los repositorios en GitHub donde se alojan los mineros.
Sin embargo, a pesar de estas señales, todavía no se puede atribuir el ataque con certeza a ningún grupo específico.
Ataque de los pandas: Imágenes adorables con intenciones maliciosas
Detrás de una imagen tierna puede esconderse una amenaza seria. Así funciona una de las técnicas que utiliza el malware Koske, donde la entrada inicial del ataque se logra al explotar configuraciones mal hechas en instancias de JupyterLab expuestas en Internet. Una vez dentro, los atacantes pueden ejecutar comandos directamente en el sistema comprometido.
Una vez que logran ese acceso, el siguiente paso es sorprendente: descargan un par de imágenes JPEG de osos panda. A simple vista, parecen inofensivas y están alojadas en servicios legítimos como OVH Images, FreeImage o PostImage. Pero no te dejes engañar: estas imágenes vienen con sorpresa incluida.
Lo interesante de este caso es que no se usó esteganografía tradicional (la técnica de esconder código dentro de una imagen). En cambio, los atacantes utilizaron algo llamado archivos políglotas. Estos archivos son válidos en más de un formato, lo que significa que pueden comportarse como una imagen y, al mismo tiempo, como un script.
En otras palabras, si un usuario abre el archivo en un visor de imágenes, verá simplemente un panda adorable. Pero si el mismo archivo es procesado por un intérprete de comandos (por ejemplo, Bash), lo que se ejecuta es un script malicioso oculto al final del archivo, que incluye código shell y fragmentos en C.
Esta técnica permite que el malware pase desapercibido ante muchas soluciones de seguridad, ya que los encabezados del archivo son completamente válidos para JPEG, y solo el análisis profundo revela la presencia del código malicioso embebido.
Es un enfoque creativo y bastante astuto que demuestra hasta qué punto los atacantes están evolucionando para burlar las defensas tradicionales. Y sí, aunque los pandas se ven adorables, en este caso están haciendo el trabajo sucio.
Imagen de panda aparentemente inofensivo (arriba), contenido del archivo (abajo) (Fuente: AquaSec)
Podría interesarte leer: Antivirus para Empresas: Sophos vs ESET, Bitdefender y Kaspersky
Cómo el malware Koske ejecuta su ataque en segundo plano (y casi sin dejar rastro)
Detrás de cada imagen de panda usada en los ataques de Koske se esconde no solo una, sino dos cargas útiles que se ejecutan en paralelo y directamente desde la memoria del sistema, sin tocar el disco.
Por un lado, está el primer componente: un código en C que se carga en memoria y se compila al vuelo como un archivo .so (objeto compartido). Este archivo actúa como un rootkit, una pieza de software diseñada para ocultar la presencia del malware al sistema operativo y a cualquier herramienta de monitoreo.
Se engancha al sistema usando técnicas como LD_PRELOAD, interceptando funciones como readdir() para ocultar archivos, procesos o directorios relacionados con el ataque. Básicamente, si no sabes que está ahí, es muy poco probable que lo veas.
El segundo componente es un script de shell que también se ejecuta directamente en la memoria, sin dejar archivos visibles en el sistema. Este script aprovecha herramientas y utilidades estándar de Linux para actuar con total sigilo.
Entre sus funciones clave está la de mantener la persistencia, creando tareas programadas en cron que se ejecutan cada 30 minutos, así como configurando servicios personalizados en systemd.
Pero eso no es todo. El script también realiza una serie de ajustes para evadir controles de red y asegurar su comunicación externa:
-
Modifica
/etc/resolv.confpara que solo utilice DNS públicos como Cloudflare y Google. -
Usa
chattr +ipara proteger ese archivo y evitar cambios. -
Limpia las reglas de iptables, dejando al sistema sin cortafuegos.
-
Elimina o redefine variables de proxy, y fuerza nuevas configuraciones mediante utilidades como
curl,wgety escaneos TCP personalizados.
Toda esta lógica está pensada para que el malware permanezca activo, se comunique sin interferencias y evite ser detectado. Esta capacidad de adaptación tan sofisticada es una de las razones por las que los investigadores sospechan que su desarrollo pudo haber contado con la ayuda de modelos de lenguaje avanzados o plataformas de automatización, capaces de generar código personalizado con base en cada entorno.
Una vez que Koske ha tomado control del sistema y ha establecido su presencia, el script de shell descarga criptomineros directamente desde repositorios de GitHub. Estos mineros comienzan a usar los recursos del sistema (tanto CPU como GPU) para generar criptomonedas, afectando el rendimiento general y, por supuesto, beneficiando a los atacantes.
En resumen, Koske es mucho más que un simple malware: es un conjunto de herramientas diseñado para infiltrarse, mantenerse oculto, evadir medidas de seguridad y explotar los recursos del sistema con una eficiencia sorprendente. Todo ello mientras el usuario solo ve una imagen de un oso panda.
Cadena de ataque completa (Fuente: AquaSec)
Conoce más sobre: Malware Lumma Infostealer Regresa Después de la Interrupción Policial
Koske no solo mina criptomonedas: Lo hace con inteligencia y eficiencia
Antes de ponerse a trabajar, el malware Koske analiza cuidadosamente los recursos del sistema infectado. Evalúa tanto la CPU como la GPU disponibles para decidir cuál es el mejor tipo de minero a ejecutar. En otras palabras, elige la herramienta adecuada para exprimir al máximo el rendimiento del equipo, sin desperdiciar potencia.
Koske es compatible con la minería de al menos 18 criptomonedas distintas, muchas de ellas diseñadas para ser difíciles de rastrear. Algunas de las monedas incluidas en su repertorio son Monero, Ravencoin, Zano, Nexa y Tari, todas conocidas por su enfoque en la privacidad y el anonimato.
Lo más preocupante es que, si el malware detecta que alguna de estas monedas o sus grupos de minería están fuera de línea o no disponibles, automáticamente cambia a otra opción de respaldo dentro de su configuración interna. Esto demuestra un nivel alto de automatización, inteligencia y capacidad de adaptación que lo hace mucho más difícil de detener.
Y aunque la versión actual de Koske ya representa una amenaza seria, esto podría ser solo el comienzo. A medida que los atacantes integren capacidades de inteligencia artificial en tiempo real, podríamos estar frente a una nueva generación de malware mucho más autónomo, impredecible y peligroso.