Akamai detecta nueva variante de malware avanzada que ataca APIs expuestas de Docker
728 x 90 px
Una nueva amenaza cibernética ha sido identificada por el equipo de seguridad de Akamai en agosto de 2025. Se trata de una variante sofisticada de malware que apunta directamente a APIs de Docker mal configuradas, aprovechando vulnerabilidades para obtener acceso root persistente y establecer control total sobre los sistemas comprometidos. Este hallazgo fue posible gracias a la infraestructura de honeypots de Akamai Hunt, y representa una evolución significativa respecto a versiones anteriores detectadas meses atrás.
Qué es Docker y por qué es un blanco atractivo
Docker es una plataforma que permite ejecutar aplicaciones dentro de contenedores virtuales, los cuales encapsulan código, librerías y configuraciones necesarias para que una app funcione de forma consistente en cualquier entorno. Aunque es ampliamente adoptado por empresas para mejorar la eficiencia operativa, su exposición indebida a internet, especialmente en el puerto 2375, lo convierte en un objetivo frecuente para los atacantes.
Evolución del malware: de criptominado a control total
La primera versión de este malware fue reportada por Trend Micro en junio de 2025. En ese momento, el ataque consistía en desplegar un contenedor Alpine con acceso al sistema host, instalar herramientas como curl y Tor, y descargar un script malicioso desde un dominio .onion para ejecutar un criptominero XMRig.
(Automático aquí)
La variante descubierta por Akamai en agosto va mucho más allá. Ahora, el malware:
- Bloquea el acceso externo a la API de Docker, impidiendo que otros atacantes exploten el mismo sistema.
- Modifica la configuración SSH para permitir acceso root persistente y añade claves públicas maliciosas.
- Instala cron jobs que manipulan reglas de firewall (iptables, ufw, nft, etc.) para cerrar el puerto 2375.
- Descarga un binario comprimido que incluye herramientas adicionales como Masscan para escanear y propagar el ataque a otros hosts vulnerables.
Riesgos y consecuencias para las organizaciones
Cuando Docker se configura de forma insegura, los atacantes pueden convertir servidores en botnets zombie, obteniendo control total sobre la infraestructura. Esta nueva cepa de malware demuestra cómo los ciberdelincuentes evolucionan rápidamente, adaptando amenazas conocidas para evadir detección y maximizar el daño. El riesgo no solo es técnico, sino estratégico: pérdida de datos, interrupción de servicios y exposición de credenciales críticas.
Recomendaciones para mitigar la amenaza
Akamai recomienda adoptar medidas inmediatas para reducir la superficie de ataque:
- Segmentar redes y aislar los hosts Docker detrás de firewalls internos.
- Limitar la exposición de APIs y servicios como Telnet o Chrome DevTools solo a redes de gestión confiables.
- Rotar contraseñas predeterminadas y aplicar políticas de credenciales robustas.
- Monitorear actividad sospechosa, como contenedores que instalan gestores de paquetes seguidos de uso de curl/wget, conexiones a dominios .onion, y cron jobs que manipulan puertos críticos.
Akamai Hunt: vigilancia activa para proteger a la comunidad
El equipo Akamai Hunt continúa monitoreando campañas activas y compartiendo indicadores de compromiso (IOCs) para fortalecer la defensa colectiva. Este tipo de investigación es clave para anticiparse a nuevas variantes y proteger tanto a clientes como a la comunidad global de ciberseguridad.tección de infraestructura, honeypots Akamai.
