Bedreigingsactoren blijven een kritieke Langflow-kwetsbaarheid misbruiken als onderdeel van nieuwe aanvallen die zijn ontworpen om een Monero-cryptocurrency-mijnwerker te leveren.
Er is vastgesteld dat de activiteit een wapen vormt CVE-2026-33017 (CVSS-score: 9,3), een niet-geauthenticeerde RCE-kwetsbaarheid (Remote Code Execution) in Langflow, die aangeeft dat bedreigingsactoren blootgestelde eindpunten van kunstmatige intelligentie (AI)-applicaties scannen en aanvallen om initiële toegang tot bedrijfsnetwerken te verkrijgen. De aanval werd waargenomen gedurende een periode van 19 dagen tussen 27 maart en 15 april 2026.
“In deze campagne haalt een enkele regel Python-code die wordt geëvalueerd binnen een niet-geverifieerd Langflow API-eindpunt een shellscript op, haalt een miner-binair bestand op en start het losstaand”, aldus Trend Micro-onderzoekers Simon Dulude en John Zhang in een technisch rapport dat vorige week werd gepubliceerd.
Op een hoog niveau is de malware ontworpen om concurrerende cryptocurrency-miner-processen te beëindigen die verband houden met Kinsing, WatchDog, Rocke en Outlaw, rivaliserende portemonnee- en sleutelmateriaal te verwijderen, beveiligingscontroles op hostniveau uit te schakelen, cron-gebaseerde persistentie tot stand te brengen, te bakenen naar een externe server (“83.142.209(.)214:80) en een aangepaste miner in te zetten. De malware kan zich ook naar andere systemen verspreiden via hergebruikte SSH-sleutels, waardoor een blootgestelde Langflow-instantie effectief wordt omgezet in een pad voor breder compromis.
Dit omvat het misbruiken van de Langflow-fout om een door de aanvaller geleverd Python-script uit te voeren, dat op zijn beurt is geconfigureerd om een op afstand gehost shell-script te starten dat fungeert als een dropper wiens primaire verantwoordelijkheid het is om te controleren of een binair bestand genaamd “lambsys” al op de host draait.
Vervolgens downloadt het het binaire bestand op de machine met behulp van curl of wget, start het als een losstaand proces en verspreidt het zichzelf naar elke SSH-bereikbare host waarbij het slachtoffer zich kan authenticeren. Het binaire bestand, een ELF-uitvoerbaar bestand geschreven in Go, is ook ontworpen om AppArmor, Ubuntu’s Uncomplicated Firewall, iptables, SELinux, de kernel NMI-waakhond en Alibaba Cloud’s Aliyun-agent uit te schakelen.
Bovendien verwijdert de malware systeemlogboeken om de sporen te verbergen, en verwijdert het het onveranderlijke kenmerk uit bestanden als “~/.ssh/”, “~/.ssh/authorized_keys”, “/etc/crontab,” en “/etc/ld.so.preload”, “/tmp/”, “/var/tmp/,” en “/var/spool/cron” om de wijzigingen aan te brengen, en past vervolgens het onveranderlijke kenmerk opnieuw toe op “/tmp/” en “/var/tmp/.”
Het is bekend dat illegale cryptocurrency-miningactiviteiten het kenmerk “chattr +i” op deze bestanden instellen om ervoor te zorgen dat ze door geen enkele gebruiker, inclusief de superuser, kunnen worden gewijzigd, hernoemd of verwijderd. Het gedrag van het binaire bestand weerspiegelt dat de dreigingsactor achter de operatie op de hoogte is van persistentiemethoden die zijn toegepast door rivaliserende cryptojacking-groepen.
In de laatste fase neemt het binaire bestand contact op met dezelfde server om een TAR-archief op te halen en daaruit een op maat gemaakte XMRig-mijnwerker te extraheren. Zodra de mijnwerker met de uitvoering begint, wordt het archiefbestand uit het bestandssysteem gewist. Het stuurt verder een verzoek naar ipinfo(.)io om het openbare IP-adres en de locatie van de host te verkrijgen, waardoor de bedreigingsactoren direct operationele beslissingen kunnen nemen.
De eerste is de zwembadselectie. Aangezien mijnbouwpools doorgaans geografisch verspreid zijn, kan het verbinden van de mijnwerker met een pool in de buurt van het slachtoffer de latentie minimaliseren en de hashsnelheid maximaliseren. De tweede reden achter het verkrijgen van deze informatie is geofencing, omdat het de dreigingsactoren een manier geeft om slachtoffers in bepaalde regio’s uit te sluiten.
“Lambsys voert zijn aanvalslogica niet uit zoals Go functioneert”, legden de onderzoekers uit. “In plaats daarvan splitst het een cascade van kortstondige sh -c-subprocessen op, die elk één shell-commando uitvoeren (één pkill, één chattr, één sysctl). Het ontwerp ruilt stealth in voor betrouwbaarheid. Als een van de 51 pkill-commando’s faalt, blijft de fout beperkt tot dat subproces, en gaan de andere 50 door. “
Trend Micro zei dat een artefact dat tot de vorige versie van hetzelfde binaire bestand behoorde, in mei 2024 werd samengesteld, wat aangeeft dat de bedreigingsactoren achter de campagne waarschijnlijk al meer dan twee jaar op de familie hebben geklikt, terwijl ze stappen hebben ondernomen om detectie door antivirusprogramma’s te omzeilen.
Het afgelopen jaar zijn een aantal beveiligingsfouten in Langflow actief uitgebuit. In juni 2025 werd een andere kritieke kwetsbaarheid (CVE-2025-3248, CVSS-score: 9,8) misbruikt om de Flodrix-botnet-malware te verspreiden.
“Deze campagne voor het delven van cryptocurrency laat zien hoe blootgestelde eindpunten van AI-applicaties een nieuwe route naar bedrijfsomgevingen worden”, aldus Trend Micro. “De payload is misschien bekend, maar de leveringsvector is dat niet. Een Langflow-kwetsbaarheid geeft operators van commodity-cryptominers een nieuwe voordeur naar systemen waarop de AI-applicatie-infrastructuur draait.”
