Darktrace ha identificato una nuova evoluzione del malware Chaos che sposta il focus operativo dai router e dispositivi edge ai server Linux in ambienti cloud, sfruttando errori di configurazione nei deployment esposti. La scoperta arriva attraverso la rete globale di honeypot CloudyPots, che ha intercettato in tempo reale un attacco contro un’istanza Hadoop configurata in modo errato. L’evento osservato nel marzo 2026 conferma una trasformazione importante del botnet: non più solo DDoS e cryptomining su device periferici, ma compromissione di workload cloud con finalità molto più ampie. Il salto di qualità più rilevante riguarda l’introduzione di una funzione proxy SOCKS5, che consente agli attaccanti di usare i server infetti come punto di transito per altre intrusioni e attività anonime.
Cosa leggere
Chaos sfrutta Hadoop misconfigurato per eseguire codice remoto
L’infezione prende avvio da una richiesta inviata all’endpoint del deployment Hadoop, capace di creare una nuova applicazione malevola tramite il campo command nella sezione am-container-spec. Da qui parte una catena di comandi shell lineare ma estremamente efficace. Il sistema scarica il binary con curl dal dominio controllato dagli attaccanti, imposta i permessi con chmod 777, avvia il payload e infine rimuove il file con rm per ridurre le tracce forensi. Questo schema mostra un approccio ormai consolidato negli attacchi cloud: esecuzione rapida, permanenza minima del file sul disco e persistenza affidata a componenti di sistema successivi. Il dominio osservato, pan.tenire.com, è stato collegato anche ad altre campagne malevole, segnale che gli operatori stanno riutilizzando infrastrutture già testate in operazioni precedenti.
La variante Go a 64 bit amplia il raggio sui server Linux
Il campione analizzato è un binary ELF a 64 bit scritto in Go, una scelta perfettamente coerente con i moderni server cloud Linux basati su architetture x86_64. Rispetto alle vecchie iterazioni focalizzate su ARM o MIPS per router, questa nuova build mostra un refactoring esteso del codice. Il namespace passa da main_chaos a main, molte funzioni sono state riorganizzate e il malware appare chiaramente ottimizzato per ambienti server. Restano intatte le capacità DDoS su HTTP, TLS, TCP, UDP e WebSocket, mentre spariscono alcuni moduli di propagazione automatica via SSH e funzioni di exploit legacy ereditate da Kaiji. Questo cambio indica una precisa scelta strategica: meno diffusione rumorosa e più focus su host cloud ad alto valore, dove larghezza di banda, uptime e accesso a reti interne rendono ogni compromissione molto più profittevole.
Il proxy SOCKS5 trasforma Chaos in piattaforma di pivoting
La novità tecnica più importante è l’aggiunta del modulo proxy SOCKS5. Quando il server di comando invia il task StartProxy, il malware apre una porta TCP controllata dall’attaccante e trasforma il nodo compromesso in un relay di traffico. Questo permette agli operatori di far apparire le connessioni come provenienti dalla vittima, mascherando l’origine reale e aggirando sistemi di rate limiting, geofencing o controlli reputazionali sugli IP. In pratica il server infetto diventa un trampolino ideale per pivoting laterale, accesso a risorse interne non esposte e supporto ad altre campagne di intrusione. La monetizzazione cambia radicalmente: oltre agli attacchi DDoS, il botnet può ora essere usato come rete proxy privata per intrusioni, frodi e operazioni stealth. È un’evoluzione coerente con il trend osservato anche in altri botnet moderni come Aisuru.
Systemd garantisce persistenza e sopravvivenza nel cloud
Per mantenere l’accesso nel tempo, Chaos utilizza ancora meccanismi di persistenza basati su systemd, una scelta particolarmente efficace sui server Linux enterprise. Il malware installa uno script keep-alive malevolo in /boot/system.pub, che assicura il riavvio automatico del processo dopo reboot o crash. Questo modello di persistenza è insidioso perché si integra con il normale lifecycle del sistema operativo e riduce la probabilità che il processo venga notato durante controlli superficiali. In ambienti cloud, dove i server possono essere riavviati automaticamente da orchestratori o sistemi di scaling, il supporto systemd garantisce una longevità notevole. Anche il canale C2 rimane stabile attraverso la porta 65111, utilizzata per ricevere comandi relativi sia agli attacchi DDoS sia alle sessioni proxy.
Darktrace evidenzia il rischio crescente delle misconfigurazioni cloud
L’elemento più interessante della scoperta è il vettore iniziale: non una vulnerabilità zero-day, ma una misconfigurazione di Hadoop nel cloud. Questo dettaglio conferma come errori banali nelle impostazioni di servizi distribuiti possano aprire la strada a compromissioni di grande impatto. Con la crescita di workload containerizzati, data lake, cluster analytics e pipeline AI, la superficie d’attacco del cloud continua ad ampliarsi. Gli operatori di Chaos sembrano aver compreso il valore di questi target: un singolo server cloud offre banda elevata, persistenza stabile, accesso a reti interne e spesso credenziali di servizio verso storage o database. La combinazione tra DDoS tradizionale, proxy SOCKS5, persistenza systemd e infrastrutture VPS a basso costo rende questa variante molto più versatile rispetto al passato.
Chaos evolve da botnet edge a minaccia cloud multifunzione
La nuova versione del malware Chaos dimostra come i botnet stiano seguendo l’evoluzione dell’infrastruttura IT globale. Se in passato il focus era sui router domestici o enterprise, oggi i server cloud Linux rappresentano un bersaglio più redditizio e strategico. La capacità di operare come proxy, mantenere persistenza silenziosa e sfruttare configurazioni errate rende Chaos uno strumento multifunzione, utile sia per attacchi diretti sia come supporto a campagne più complesse. Per le organizzazioni il messaggio è chiaro: la sicurezza cloud non dipende solo dal patching, ma soprattutto dalla corretta configurazione di servizi come Hadoop, dalla segmentazione di rete e dal monitoraggio continuo di processi anomali. La presenza del proxy SOCKS5 alza ulteriormente il livello di rischio, perché trasforma ogni server compromesso in una base operativa per ulteriori attacchi.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
