Sommario
La minaccia si chiama Linuxsys ed è un cryptominer attivo dal 2021, capace di sfruttare vulnerabilità note in modo sistematico, mantenendo una metodologia costante e scalabile. Secondo VulnCheck, l’ultima ondata di attacchi, rilevata tra il 1° e il 16 luglio 2025, ha visto l’indirizzo IP 103.193.177.152 tentare ripetutamente di compromettere un honeypot Apache 2.4.49. L’obiettivo? Scaricare il file linux.sh e il binario linuxsys, strumenti centrali per avviare la catena di infezione. Il dominio utilizzato per il download, repositorylinux[.]org, risulta registrato nel 2024 e mascherato dietro infrastruttura Cloudflare già da gennaio 2025, aumentando l’opacità delle operazioni.
La persistenza del malware e la strategia operativa
L’attacco sfrutta comandi curl e wget con timeout e fallback multipli per garantire la riuscita della connessione, anche in condizioni sfavorevoli. I file vengono richiesti da server legittimi compromessi, spesso protetti da certificati SSL validi, così da evitare sospetti e filtrare il traffico come apparentemente innocuo. La distribuzione tramite domini legittimi, come prepstarcenter[.]com o wisecode[.]it, costituisce uno degli elementi chiave della furtività operativa dell’attaccante. Una volta scaricato, il miner viene eseguito direttamente, mentre lo script cron.sh aggiunge un meccanismo di persistenza automatica al boot.
L’architettura malevola e l’infrastruttura compromessa
Analizzando la configurazione estratta da uno dei sistemi infetti, emerge che il miner punta al pool hashvault.pro, e sfrutta un wallet attivo almeno da gennaio 2025. I due worker identificati, denominati “lucifer” e “baphomet”, fanno parte di una rete distribuita stimata in circa 400 dispositivi. Il ritorno economico medio, pari a 0,024 XMR al giorno (circa 8 euro), suggerisce un’operazione di bassa scala ma altamente resiliente, dove la sostenibilità a lungo termine vale più dell’impatto immediato. Il malware dimostra anche una componente ibrida, grazie alla presenza di eseguibili Windows (nssm.exe e winsys.exe) sui server infetti, sebbene non siano state osservate esecuzioni attive nel contesto di questa campagna. L’attaccante sembra dunque voler mantenere versatilità cross-platform, pronta per essere attivata quando il contesto lo consente.
Quattro anni di attacchi documentati con la stessa logica
Il primo avvistamento di Linuxsys risale a dicembre 2021, in una ricerca pubblicata da Hal Pomeranz sul blog “Hudak’s Honeypot”. In quel report, il malware si presentava già con le stesse componenti chiave: uno script bash per l’installazione, un cron job per la persistenza e file ospitati su domini WordPress compromessi. A distanza di quattro anni, l’intera logica operativa è rimasta inalterata. Il gruppo dietro Linuxsys non si limita a una sola vulnerabilità. Secondo i dati raccolti da VulnCheck, il malware ha sfruttato almeno sette falle diverse nel corso degli anni, tra cui CVE-2021-41773, CVE-2023-22527, CVE-2023-34960, CVE-2023-38646, CVE-2024-0012, CVE-2024-9474 e CVE-2024-36401. Alcune di queste vulnerabilità non figurano nel catalogo KEV della CISA, ma sono inserite nell’elenco prioritario di VulnCheck per le exploit attivamente rilevate.
Tecniche avanzate per evitare il rilevamento
Dal punto di vista tecnico, il malware utilizza script bash progettati con intelligenza operativa. I comandi alternano curl e wget in fallback, con timeout personalizzati, assenza di validazione dei certificati SSL e ripetizione dei tentativi in parallelo. Dopo il download, i file binari vengono resi eseguibili (chmod +x) e lanciati. Lo script cron.sh, a sua volta, modifica la configurazione di sistema per rieseguire il miner a ogni riavvio, ottenendo così una persistenza stabile anche in ambienti a basso controllo amministrativo.
Tutti i domini coinvolti sono realmente esistenti e attivi, configurati con certificati HTTPS validi, un dettaglio che permette agli attaccanti di camuffare il traffico in uscita come legittimo e minimizzare l’intercettazione da parte dei sistemi di intrusion detection. Il fatto che la maggior parte dei domini coinvolti sia ancora in funzione dimostra anche la lentezza delle risposte difensive a livello globale, nonostante la natura manifesta delle infezioni.
I sistemi di detection e la tracciabilità dell’attività
VulnCheck ha reso disponibili delle regole Suricata e Snort per il rilevamento degli attacchi, mappando gli exploit associati a ciascuna vulnerabilità. La piattaforma evidenzia come la correlazione tra hash SHA-1 dei file linux.sh, linuxsys e config.json riveli dozzine di varianti diverse, segno di una continuazione attiva dello sviluppo del malware, pur mantenendo invariata la logica generale. Anche VirusTotal contiene oltre 40 istanze documentate del miner, a conferma della diffusione costante e stratificata dell’infezione. Uno degli aspetti più interessanti emersi è la selettività dell’attore malevolo. Secondo VulnCheck, Linuxsys evita sistematicamente honeypot a bassa interazione, prediligendo ambienti con maggiore attività e risposta, in grado di nascondere l’attacco tra il traffico legittimo. Questo comportamento suggerisce un attaccante che monitora e analizza attivamente i risultati delle proprie azioni, e che dispone di meccanismi adattivi per evitare la rilevazione.
Una minaccia che resta silente ma stabile
Nonostante l’apparente bassa redditività, l’intera infrastruttura malware dimostra una sorprendente solidità tecnica e una notevole resilienza operativa. Gli attori dietro Linuxsys hanno preferito un approccio modulare, low-profile e persistente, in grado di garantire profitti modesti ma continuativi. Questa strategia, fondata su vulnerabilità note, tecniche distribuite e ostinata evasività, rappresenta una minaccia concreta, soprattutto per ambienti Linux non aggiornati o privi di monitoraggio attivo. Il caso Linuxsys conferma ancora una volta come, nel contesto del cybercrime moderno, le campagne persistenti e silenziose possano essere più insidiose delle operazioni eclatanti. E in un panorama dove il mining illecito sembra marginale rispetto a ransomware e esfiltrazioni, questa minaccia dimostra invece di sapersi adattare al tempo e alle difese, restando invisibile ma costante, proprio come un miner sotterraneo.
