Novo Malware Revela Crescente Ataque Sistemático à Infraestrutura de Rede

A Eclypsium capturou duas variantes de malware indocumentadas anteriormente em 6 de março: CondiBot, uma botnet DDoS multi-arquitetura (ARM, MIPS, x86) derivada de Mirai, com 32 attack handlers registrados, capacidade de eliminação de botnets concorrentes e C2 beaconing via porta 20480 (0x5000) para 65.222.202.53; e Monaco, um SSH scanner em Go 1.24.0 e cryptominer de Monero baseado em XMRig, atribuído a um ator provavelmente de língua chinesa hospedado na Alibaba Cloud (8.222.206.6).

Monaco realiza brute-forcing em aproximadamente 3.6 bilhões de IPs com mais de 50 credenciais hardcoded e reporta credenciais roubadas via raw TCP. Ambas as variantes exploram a lacuna de visibilidade de EDR/XDR em dispositivos de rede, operando abaixo da camada do sistema operacional. Defensores devem monitorar por /tmp/monaco, operações chmod 777 não autorizadas, processos XMRig inesperados e aplicar as regras YARA do relatório completo da Eclypsium para detectar artefatos do CondiBot, incluindo o identificador de string "QTXBOT".