O notório grupo TeamTNT está preparando uma nova campanha em grande escala, visando ambientes nativos de nuvem para minerar criptomoedas e alugar servidores comprometidos para terceiros. Segundo os pesquisadores, o grupo está focado em daemons Docker expostos para implantar o malware Sliver, um verme cibernético, e criptomineradores. Além disso, utilizam o Docker Hub como infraestrutura para distribuir seu malware e monetizar os servidores infectados.

Além de usar o Docker Hub para hospedar e distribuir cargas maliciosas, o grupo também oferece o poder computacional das máquinas infectadas para terceiros, ampliando suas fontes de receita. Os primeiros indícios dessa campanha surgiram no início de outubro de 2024, quando a empresa Datadog detectou tentativas maliciosas de agregar instâncias infectadas de Docker a um Docker Swarm. Embora na época a atribuição formal ao TeamTNT não tenha sido feita, agora ficou claro que o grupo está por trás dessas atividades.

Os ataques são realizados identificando endpoints API Docker expostos e não autenticados, utilizando ferramentas como masscan e ZGrab para implantar criptomineradores. A infraestrutura comprometida é então vendida em plataformas de aluguel de mineração, como o Mining Rig Rentals, indicando a maturidade do modelo de negócios ilícitos do grupo.