Os invasores foram observados conduzindo uma série de ataques de proxyjacking com o objetivo de hackear servidores SSH vulneráveis.
Eles os monetizam por meio de serviços de proxyware que fornecem compensação pelo compartilhamento de largura de banda de Internet não utilizada.
Os invasores estão aproveitando o SSH para acesso remoto e executando scripts maliciosos para alistar secretamente os servidores das vítimas em uma rede proxy P2P, como Peer2Proxy ou Honeygain.
Ao se conectar com sucesso a um dos servidores SSH vulneráveis, os invasores implementaram um script Bash codificado em Base64.
Esse script incorporou efetivamente os sistemas comprometidos nas redes proxy da Honeygain ou Peer2Profit.
Além disso, o script estabeleceu um ambiente de contêiner baixando imagens do Docker de redes proxy, encerrando simultaneamente contêineres concorrentes que compartilhavam largura de banda.
Uma investigação mais aprofundada revelou a presença de mineradores de criptomoedas, exploits e ferramentas de hacking no servidor comprometido, indicando que os agentes da ameaça podem ter feito a transição completa para o proxyjacking ou o empregado como um meio adicional de geração de renda passiva.