Cybersecurity-onderzoekers hebben details onthuld van een nieuwe cryptojacking-campagne die illegale softwarebundels gebruikt als lokmiddel om een op maat gemaakt XMRig-mijnprogramma op gecompromitteerde hosts in te zetten.
“Analyse van de herstelde dropper, persistentietriggers en mining-payload onthult een geavanceerde, meerfasige infectie die prioriteit geeft aan maximale cryptocurrency mining-hashrate, waardoor het slachtoffersysteem vaak wordt gedestabiliseerd”, zei Trellix-onderzoeker Aswath A in een technisch rapport dat vorige week werd gepubliceerd.
“Bovendien vertoont de malware wormachtige eigenschappen, die zich verspreiden over externe opslagapparaten, waardoor zijwaartse beweging mogelijk wordt, zelfs in omgevingen met luchtspleten.”
Het beginpunt van de aanval is het gebruik van social engineering-lokvogels, die reclame maken voor gratis premiumsoftware in de vorm van illegale softwarebundels, zoals installatieprogramma’s voor kantoorproductiviteitssuites, om nietsvermoedende gebruikers ertoe te verleiden uitvoerbare bestanden met malware te downloaden.
Het binaire systeem fungeert als het centrale zenuwstelsel van de infectie en vervult verschillende rollen als installateur, waakhond, payload-manager en schoonmaker om toezicht te houden op verschillende aspecten van de levenscyclus van de aanval. Het beschikt over een modulair ontwerp dat de monitoringfuncties scheidt van de kernpayloads die verantwoordelijk zijn voor cryptocurrency-mining, escalatie van bevoegdheden en persistentie als het wordt beëindigd.
Deze flexibiliteit, of mode-switching, wordt bereikt via opdrachtregelargumenten –
- Geen parameters voor omgevingsvalidatie en migratie tijdens de vroege installatiefase.
- 002 Re:0, voor het laten vallen van de belangrijkste ladingen, het starten van de mijnwerker en het betreden van een monitoringlus.
- 016, voor het herstarten van het mijnwerkerproces als het wordt gedood.
- barusu, voor het initiëren van een zelfvernietigingsreeks door alle malwarecomponenten te beëindigen en bestanden te verwijderen.
In de malware is een logische bom aanwezig die werkt door de lokale systeemtijd op te halen en deze te vergelijken met een vooraf gedefinieerde tijdstempel –
- Als het vóór 23 december 2025 is, gaat de malware verder met het installeren van de persistentiemodules en het starten van de mijnwerker.
- Als het na 23 december 2025 is, wordt het binaire bestand gelanceerd met het ‘barusu’-argument, wat resulteert in een ‘gecontroleerde buitengebruikstelling’ van de infectie.
De harde deadline van 23 december 2025 geeft aan dat de campagne is ontworpen om voor onbepaalde tijd te worden uitgevoerd op gecompromitteerde systemen, waarbij de datum waarschijnlijk het aflopen van de gehuurde command-and-control (C2)-infrastructuur aangeeft, een voorspelde verschuiving in de cryptocurrency-markt, of een geplande overstap naar een nieuwe malwarevariant, zei Trellix.
In het geval van de standaard infectieroutine schrijft het binaire bestand – dat fungeert als een ‘op zichzelf staande drager’ voor alle kwaadaardige payloads – de verschillende componenten naar schijf, inclusief een legitiem uitvoerbaar Windows Telemetry-servicebestand dat wordt gebruikt om de mijnwerker-DLL te sideloaden.
Ook zijn er bestanden verwijderd om de persistentie te garanderen, beveiligingshulpmiddelen te beëindigen en de mijnwerker uit te voeren met verhoogde rechten door een legitiem maar gebrekkig stuurprogramma te gebruiken (“WinRing0x64.sys”) als onderdeel van een techniek die ‘bring your own vulnerability driver’ (BYOVD) wordt genoemd. Het stuurprogramma is gevoelig voor een kwetsbaarheid die wordt bijgehouden als CVE-2020-14979 (CVSS-score: 7,8) en die escalatie van bevoegdheden mogelijk maakt.
De integratie van deze exploit in de XMRig-miner is bedoeld om meer controle te krijgen over de low-level configuratie van de CPU en om de mining-prestaties (dwz de RandomX-hashrate) met 15% tot 50% te verbeteren.
“Een onderscheidend kenmerk van deze XMRig-variant is zijn agressieve voortplantingsvermogen”, aldus Trellix. “Het is niet alleen afhankelijk van het downloaden van de dropper door de gebruiker; het probeert zich actief te verspreiden naar andere systemen via verwijderbare media. Hierdoor verandert de malware van een eenvoudig Trojaans paard in een worm.”
Er zijn aanwijzingen dat de mijnbouwactiviteit, zij het sporadisch, plaatsvond in november 2025, alvorens op 8 december 2025 een piek te bereiken.
“Deze campagne dient als een krachtige herinnering dat gewone malware blijft innoveren”, concludeerde het cyberbeveiligingsbedrijf. “Door social engineering, legitieme softwaremaskerades, wormachtige verspreiding en uitbuiting op kernelniveau aan elkaar te koppelen, hebben de aanvallers een veerkrachtig en zeer efficiënt botnet gecreëerd.”
De onthulling komt omdat Darktrace zei dat het een malware-artefact heeft geïdentificeerd dat waarschijnlijk is gegenereerd met behulp van een groot taalmodel (LLM) dat misbruik maakt van de React2Shell-kwetsbaarheid (CVE-2025-55182, CVSS-score: 10.0) om een Python-toolkit te downloaden, die gebruik maakt van de toegang om een XMRig-mijnwerker te laten vallen door een shell-opdracht uit te voeren.
“Hoewel de hoeveelheid geld die de aanvaller in dit geval genereert relatief laag is en cryptomining verre van een nieuwe techniek is, is deze campagne het bewijs dat op AI gebaseerde LLM’s cybercriminaliteit toegankelijker dan ooit hebben gemaakt”, aldus onderzoekers Nathaniel Bill en Nathaniel Jones.
“Eén enkele promptsessie met een model was voor deze aanvaller voldoende om een functionerend exploitframework te genereren en meer dan negentig hosts te compromitteren, wat aantoont dat de operationele waarde van AI voor tegenstanders niet mag worden onderschat.”
Aanvallers hebben ook gebruik gemaakt van een toolkit genaamd ILOVEPOOP om te scannen op blootgestelde systemen die nog steeds kwetsbaar zijn voor React2Shell, waarschijnlijk in een poging om de basis te leggen voor toekomstige aanvallen, volgens de WhoisXML API. De indringende activiteit was vooral gericht op overheids-, defensie-, financiële en industriële organisaties in de VS
“Wat ILOVEPOOP ongebruikelijk maakt, is de discrepantie tussen hoe het werd gebouwd en hoe het werd gebruikt”, zegt Alex Ronquillo, vice-president product bij WhoisXML API. “De code zelf weerspiegelt kennis op expertniveau van de interne onderdelen van React Server Components en maakt gebruik van aanvalstechnieken die in geen enkele andere gedocumenteerde React2Shell-kit voorkomen.”
“Maar de mensen die het implementeerden, maakten fundamentele operationele fouten bij de interactie met de honeypot-monitoringsystemen van WhoisXML API – fouten die een geavanceerde aanvaller normaal gesproken zou vermijden. In praktische termen wijst deze kloof op een arbeidsverdeling.”
“Misschien kijken we naar twee verschillende groepen: één die de tool heeft gebouwd en één die hem gebruikt. We zien dit patroon bij door de staat gesponsorde operaties: een bekwaam team ontwikkelt de tool en draagt deze vervolgens over aan operators die massale scancampagnes uitvoeren. De operators hoeven niet te begrijpen hoe de tool werkt, ze hoeven hem alleen maar uit te voeren.”
