Pesquisadores de cibersegurança identificaram uma campanha que explora uma vulnerabilidade no Apache HTTP Server para instalar o minerador de criptomoedas Linuxsys em sistemas Linux. A falha, CVE-2021-41773 (CVSS 7.5), é um problema de path traversal no Apache 2.4.49 que permite execução remota de código. O ataque, vindo de um IP na Indonésia, utiliza sites legítimos comprometidos para distribuir o malware de forma furtiva, dificultando a detecção.
O processo começa com o download de um shell script hospedado no domínio repositorylinux[.]org via curl ou wget, o script baixa o minerador Linuxsys de cinco sites invadidos e instala outro arquivo, cron.sh, que garante sua execução automática após reinicializações. Também foram encontrados arquivos para Windows nos mesmos sites, sugerindo que sistemas Microsoft podem ser alvos. Essa técnica já foi usada antes, em 2024 o Linuxsys foi distribuído explorando a falha CVE-2024-36401 no GeoServer GeoTools. Os atacantes também abusaram de vulnerabilidades no Atlassian Confluence, Chamilo LMS, Metabase e firewalls Palo Alto Networks.
O grupo mantém uma campanha de longo prazo, usando falhas conhecidas e infraestrutura invadida para minerar criptomoedas, evitando detecção ao focar em alvos complexos. Paralelamente, a Kaspersky relatou ataques a órgãos governamentais na Ásia usando uma brecha no Microsoft Exchange Server (CVE-2020-0688) para instalar o backdoor GhostContainer. O malware permite espionagem, execução de comandos e instalação de módulos adicionais, operando sem comunicação direta com servidores de controle, o que aumenta sua furtividade.
