Nuevo malware sigiloso en Linux: cómo combina Mirai, minería cripto y ataques DDoS para pasar desapercibido”

"

Amenazas en Linux: nuevo malware sigiloso combina botnets Mirai, cryptominer sin archivos y DDoS récord como AISURU

En los últimos meses surgió una tendencia alarmante en el mundo de la ciberseguridad: malware altamente sigiloso dirigido a sistemas Linux, capaz de combinar técnicas avanzadas como fileless cryptomining, variantes modernas de botnets Mirai y participación en ataques DDoS masivos como AISURU. Estas amenazas afectan servidores, infraestructura crítica y millones de dispositivos IoT.

¿Por qué Linux está en la mira?

Aunque muchas personas asocian Linux con seguridad, hoy es el sistema operativo que más se encuentra en:

  • Routers domésticos y corporativos
  • Cámaras IP y sistemas de vigilancia
  • Antenas, módems y dispositivos ISP
  • Servidores web y contenedores
  • Dispositivos IoT vulnerables

Esto lo convierte en un objetivo ideal para botnets que buscan escalar rápido.

1. Malware “sin archivos”: silencioso, rápido y difícil de detectar

Los analistas vienen detectando una nueva generación de malware para Linux que no se instala como un archivo normal. Se ejecuta directamente en memoria, una técnica conocida como fileless malware.

Ventajas para el atacante:

  • No deja rastros en disco.
  • Evita la mayoría de los antivirus tradicionales.
  • Permite minar criptomonedas sin llamar la atención.
  • Puede persistir usando procesos legítimos del sistema.

Este tipo de ataque ya fue observado por empresas como Trend Micro y CrowdStrike en campañas activas durante 2024 y 2025.

2. Mutaciones de Mirai: la botnet que nunca muere

Mirai, creada en 2016, sigue viva gracias a cientos de variantes que explotan vulnerabilidades recientes en routers y dispositivos IoT. Su código filtrado permitió que ciberdelincuentes lo modifiquen libremente.

Las nuevas versiones incluyen:

  • Exploit automático de vulnerabilidades CVE recientes.
  • Mejoras para evitar detección.
  • Capacidad de ejecutar cryptomining en paralelo.
  • Integración con redes P2P para mayor resiliencia.

El resultado: una botnet que crece sola, sin intervención humana.

3. Cryptominer sin archivos: minado directo en RAM

La técnica de cryptominer fileless permite que el malware mine criptomonedas sin instalar binarios visibles. Consume CPU en segundo plano y envía las ganancias a wallets de los atacantes.

Los investigadores reportaron campañas donde servidores Linux terminaban funcionando al 90% de CPU sin ningún archivo malicioso identificable.

4. DDoS masivos: AISURU y el nuevo récord global

En 2024–2025, varias compañías de seguridad reportaron ataques DDoS que superaron 400 millones de solicitudes por segundo, un récord histórico. Uno de estos incidentes fue bautizado AISURU por Cloudflare.

Características del ataque AISURU:

  • Alta velocidad y baja huella de tráfico.
  • Coordinación global desde dispositivos IoT comprometidos.
  • Uso híbrido de técnicas de amplificación y botnets.
  • Origen proveniente de mutaciones de Mirai.

Las botnets modernas no solo tiran sitios abajo, sino que también interrumpen servicios críticos, pagos electrónicos, APIs y redes sociales.

5. ¿A quién afecta este tipo de amenaza?

  • Empresas que usan servidores Linux (la mayoría).
  • ISPs y proveedores de infraestructura.
  • Cámaras de seguridad y routers domésticos.
  • Gobiernos y operadores de servicios esenciales.
  • Usuarios comunes con dispositivos IoT inseguros.

6. Cómo protegerte (explicado simple)

✔ Actualiza tu router y dispositivos IoT

La mayoría de los ataques explotan fallas antiguas.

✔ Cambia contraseñas por defecto

Mirai nació escaneando contraseñas débiles como admin / 1234.

✔ Desactiva servicios que no uses (SSH, Telnet, UPnP)

Muchos dispositivos tienen puertos abiertos sin necesidad.

✔ Usa firewall y listas de bloqueo

Bloquear regiones enteras de tráfico malicioso puede reducir ataques.

✔ Monitorea uso de CPU y red

Si tu servidor está al 90% sin razón, puede ser cryptomining.

Glosario de términos difíciles

  • Botnet: red de dispositivos infectados controlados por atacantes.
  • Fileless malware: malware que funciona sin instalar archivos en disco.
  • DDoS: ataque que satura un servicio enviando tráfico masivo.
  • IoT: dispositivos conectados como cámaras, routers, luces, etc.
  • Mirai: botnet famosa especializada en infectar IoT.
  • Cryptomining: uso de tu CPU para minar criptomonedas sin permiso.

Fuentes consultadas

  • Trend Micro – Informes de amenazas Linux 2024–2025
  • CrowdStrike – Global Threat Report 2024
  • Cloudflare – Reporte sobre el ataque AISURU (2024)
  • Unit 42 (Palo Alto Networks) – Análisis de variantes modernas de Mirai
  • Fortinet – Campañas de cryptomining fileless en Linux

Si te gustó este artículo, podés seguir leyendo más en:
Ciberseguridad Directa

https://ciberdirecta.blogspot.com/2025/12/bidi-swap-en-urls-que-es

Apoyá mi trabajo 🙌

Si te sirven mis alertas y guías,
podés invitarme un café ☕

Invitame un café

Gracias por apoyar contenido independiente 💙

Comentarios

Publicar un comentario

💬 Comentá con respeto.
No publiques datos personales ni enlaces promocionales.
Los mensajes se moderan antes de publicarse.

Entradas populares de este blog

Guía completa sobre grooming

Imagen
Grooming: guía completa para padres y para que tu hijo la lea Qué vas a encontrar: definición clara, tipos de grooming, señales para detectar, pasos concretos para actuar como padre/madre o tutor, recomendaciones directas para que los menores comprendan y una lista de dónde denunciar por país. ¿Qué es el grooming? El grooming es el proceso mediante el cual un adulto se gana la confianza de una niña, niño o adolescente con el objetivo de abusar sexualmente, explotarlo o inducirlo a producir y compartir imágenes o videos de contenido sexual. Suele comenzar con un acercamiento en redes sociales, juegos, apps o chats, y termina construyendo una relación de manipulación y control. 0 Tipos y fases del grooming (explicado simple) Contacto inicial: el agresor crea un perfil falso o se hace pasar por alguien de la misma edad para iniciar la conversación. Construcción de confianza: demuestra interés, comparte supuestos sentim...
Leer más

Extensiones de Chrome robando accesos a ChatGPT en 2026

Imagen
Extensiones de Chrome abusando de enlaces de afiliados y robando accesos a ChatGPT – alerta 2026 Investigadores de seguridad alertaron en enero 2026 sobre campañas donde extensiones aparentemente inofensivas de Google Chrome insertaban enlaces de afiliados sin permiso, redirigían compras y, en casos más graves, robaban sesiones activas de servicios como ChatGPT (incluyendo chats completos y tokens de acceso). Estas extensiones se disfrazaban de bloqueadores de anuncios, conversores de archivos o utilidades de productividad con IA (sidebars para ChatGPT, Claude, etc.), pero ejecutaban código oculto para monetizar tráfico y espiar navegación. En campañas recientes acumularon más de 900.000 instalaciones antes de ser detectadas. Punto clave: no hace falta que una extensión sea un “virus clásico”. Con permisos amplios sobre las páginas web (“leer y cambiar todos los datos en los sitios que visitas”), puede observar y modificar todo lo que hacés en el navegador. Qué descu...
Leer más

Tabnabbing: Cómo roban tus claves secuestrando pestañas

Imagen
Tabnabbing: el ataque que secuestra una pestaña del navegador ¿Qué es el tabnabbing? Tabnabbing es un tipo de ataque web cuyo nombre en inglés puede traducirse como “secuestro de pestañas del navegador” . Significado: tab = pestaña  |  nabbing = robar o secuestrar. 👉 En la práctica: una página que abriste cambia cuando no la mirás y se convierte en una falsa. El objetivo es simple: que ingreses tu contraseña creyendo que estás volviendo a un sitio legítimo como Gmail, Facebook, Instagram o tu banco. Cómo funciona el ataque El escenario típico es este: Abrís una página desconocida en una pestaña nueva. La dejás en segundo plano. Minutos después, esa página cambia automáticamente. Cuando volvés, ves un supuesto “inicio de sesión”. Ingresás tu contraseña… y se la enviás al atacante. El truco está en que **la transformación ocurre cuando no estás mirando**. Por qué engaña tan bien La pestaña mantiene el...
Leer más