APT41 convierte los servidores en la nube de Linux en objetivos de robo de credenciales con la nueva backdoor Winnti

APT41 una vez más está impulsando sus capacidades de Linux, esta vez convirtiendo silenciosamente servidores en la nube en poderosas plataformas de robo de credenciales. La última backdoor de la familia Winnti del grupo es un implante ELF de detección cero diseñado específicamente para cargas de trabajo de Linux que se ejecutan en AWS, Google Cloud, Microsoft Azure y Alibaba Cloud, con un claro enfoque en robar credenciales de la nube a escala.

En lugar de ruidosos exploits o ransomware, esta campaña prioriza el acceso a largo plazo, el sigilo y el control operativo sobre la infraestructura crítica de la nube. El malware, analizado en profundidad por Breakglass Intelligence, opera como una backdoor persistente que se mezcla con los patrones normales de tráfico en la nube mientras recolecta tokens de acceso confidenciales y secretos de configuración de instancias comprometidas. Su investigación muestra que APT41 apunta a servicios de metadatos de instancia, archivos de credenciales locales y rutas de configuración específicas de la nube para recopilar todo lo necesario para profundizar en los entornos de nube. Luego, el malware se comunica con un conjunto de dominios typosquat con temática de Alibaba alojados en la infraestructura de Alibaba Cloud en Singapur, lo que lo ayuda aún más a integrarse en lo que podría parecer tráfico regional normal.

Este patrón, combinado con el linaje de código que se vincula con implantes Winnti ELF anteriores, como PWNLNX y la variante Linux KEYPLUG, respalda una atribución segura a APT41. La publicación APT41 convierte los servidores en la nube de Linux en objetivos de robo de credenciales con la nueva backdoor Winnti apareció por primera vez en Cyber ​​Security News.

Consultar publicación original ↗