Νέες καμπάνιες κακόβουλου λογισμικού μετατρέπουν τις συσκευές δικτύου σε κόμβους DDoS και ρομπότ Crypto-mining

Η ασφάλεια δικτύου δέχτηκε άλλο ένα σκληρό χτύπημα. Δύο προηγουμένως άγνωστα στελέχη κακόβουλου λογισμικού έχουν εμφανιστεί, μετατρέποντας αθόρυβα τους δρομολογητές, τις συσκευές IoT και τον εξοπλισμό εταιρικού δικτύου σε όπλα για κατανεμημένες επιθέσεις άρνησης υπηρεσίας (DDoS) μεγάλης κλίμακας και λειτουργίες εξόρυξης κρυπτονομισμάτων.

Αυτές οι εκστρατείες σηματοδοτούν μια σαφή αλλαγή στον τρόπο με τον οποίο οι φορείς απειλών εκμεταλλεύονται την ίδια την υποδομή δικτύου από την οποία εξαρτώνται καθημερινά οι οργανισμοί.​

Στις 6 Μαρτίου 2026, οι ερευνητές ασφαλείας κατέλαβαν νέα δείγματα δύο μη τεκμηριωμένων στελεχών κακόβουλου λογισμικού.

Το πρώτο, που ονομάζεται CondiBot, είναι ένα botnet DDoS που βασίζεται στο γνωστό πλαίσιο Mirai, σχεδιασμένο να μολύνει συσκευές δικτύου που βασίζονται σε Linux και να τις μετατρέπει σε απομακρυσμένα ελεγχόμενους κόμβους ικανούς να πλημμυρίζουν στοχευμένα συστήματα με συντριπτική κίνηση.

Το δεύτερο είδος, που ονομάζεται “Monaco”, είναι ένας εξελιγμένος σαρωτής SSH και crypto miner γραμμένος στο Go 1.24.0 που εισβάλλει σε διακομιστές, δρομολογητές και συσκευές IoT εξαναγκάζοντας αδύναμα διαπιστευτήρια SSH και στη συνέχεια αναπτύσσει σιωπηλά το λογισμικό εξόρυξης κρυπτονομισμάτων Monero.

Κανένα στέλεχος δεν είχε προηγουμένως επισημανθεί σε πλατφόρμες πληροφοριών μεγάλων απειλών, συμπεριλαμβανομένων των VirusTotal, ThreatFox και Hybrid Analysis.​

Οι ερευνητές του Eclypsium εντόπισαν και τα δύο στελέχη κακόβουλου λογισμικού και σημείωσε ότι η στόχευση της υποδομής δικτύου δεν περιορίζεται πλέον σε προηγμένες ομάδες επίμονων απειλών εθνικών κρατών.

Αυτά τα ευρήματα επιβεβαιώνουν ένα αυξανόμενο μοτίβο στο οποίο παράγοντες με οικονομικά κίνητρα, συμπεριλαμβανομένων των επιχειρήσεων εξόρυξης κρυπτονομισμάτων, εκμεταλλεύονται ενεργά τις ίδιες ευπάθειες που ευνοούσαν εδώ και καιρό οι κρατικοί χάκερ.​

Το ευρύτερο τοπίο απειλών υποστηρίζει αυτήν την ανησυχία. Σύμφωνα με την Έκθεση Διερεύνησης Παραβίασης Δεδομένων της Verizon για το 2025, σημειώθηκε 8πλάσια αύξηση των εκμεταλλεύσεων ευπάθειας που στοχεύουν συσκευές δικτύου, με τον μέσο χρόνο εκμετάλλευσης να βρίσκεται σε μηδέν ημέρες, ενώ ο διάμεσος χρόνος για την ενημέρωση κώδικα εκτείνεται σε 30 ημέρες.

Η Google Threat Intelligence Group διαπίστωσε περαιτέρω ότι σχεδόν το ένα τέταρτο όλων των τρωτών σημείων zero-day που αξιοποιήθηκαν το 2025 στόχευαν ειδικά συστήματα δικτύου και ασφάλειας, επιβεβαιώνοντας ότι αυτή η επιφάνεια επίθεσης γίνεται κύριο πεδίο μάχης.​

Αυτό που κάνει αυτές τις καμπάνιες ιδιαίτερα επικίνδυνες είναι ένα θεμελιώδες κενό ορατότητας στα περισσότερα εταιρικά περιβάλλοντα. Τα περισσότερα εργαλεία ανίχνευσης και απόκρισης τελικού σημείου είναι εντελώς τυφλά για τα ενσωματωμένα επίπεδα υλικολογισμικού των συσκευών δικτύου.

Δεδομένου ότι αυτές οι συσκευές δεν μπορούν να εκτελέσουν παραδοσιακούς πράκτορες ασφαλείας, οι επιτιθέμενοι μπορούν να λειτουργήσουν απαρατήρητοι για μήνες, συγκεντρώνοντας αθόρυβα υπολογιστική ισχύ ή θέτοντας τις βάσεις για πολύ μεγαλύτερες επιθέσεις εναντίον στόχων κατάντη.​

Μηχανισμός μόλυνσης CondiBot και τακτικές επιμονής

Η διαδικασία επίθεσης του CondiBot ξεκινά τη στιγμή που προσγειώνεται σε μια ευάλωτη συσκευή Linux. Χρησιμοποιεί μια μέθοδο παράδοσης ωφέλιμου φορτίου που ανατρέχει σε πολλαπλά βοηθητικά προγράμματα μεταφοράς αρχείων — συμπεριλαμβανομένων των wget, curl, tftp και ftpget — για να διασφαλίσει ότι το κακόβουλο δυαδικό αρχείο φτάνει στον στόχο ανεξάρτητα από τα εργαλεία που είναι διαθέσιμα στη συσκευή.

Μόλις εκτελεστεί το δυαδικό, απενεργοποιεί αμέσως τα βοηθητικά προγράμματα επανεκκίνησης του συστήματος ορίζοντας τα δικαιώματα αρχείων τους σε 000, αποτρέποντας μια απλή επανεκκίνηση από την εκκαθάριση της μόλυνσης. Στη συνέχεια συνδέεται με έναν διακομιστή εντολών και ελέγχου (C2) και εγγράφεται χρησιμοποιώντας ένα μοναδικό αναγνωριστικό bot.​

Μετά την εγγραφή, το CondiBot εισέρχεται σε έναν βρόχο αναμονής, ακούγοντας εντολές επίθεσης από το C2. Όταν φτάσει μια παραγγελία, αποστέλλει έναν από τους 32 εγγεγραμμένους χειριστές επιθέσεων εναντίον του καθορισμένου στόχου.

Αυτό σηματοδοτεί μια αξιοσημείωτη επέκταση από προηγούμενες παραλλαγές Condi που τεκμηριώθηκαν από την Fortinet το 2023, οι οποίες κατέγραψαν πολύ λιγότερες μονάδες επίθεσης.

Οι αναλυτές εξήγαγαν μια συμβολοσειρά με την ένδειξη “QTXBOT” από το δυαδικό αρχείο — ένα εσωτερικό αναγνωριστικό που δεν φαίνεται σε καμία προηγούμενη τεκμηρίωση του Condi, υποδηλώνοντας ότι αυτή μπορεί να είναι μια διχαλωτή παραλλαγή ή μια ξεχωριστή έκδοση που διατηρείται από διαφορετική ομάδα προγραμματιστών.​

Το κακόβουλο λογισμικό σκοτώνει επίσης ενεργά ανταγωνιστικά botnet που εκτελούνται στην ίδια μολυσμένη συσκευή, συμπεριλαμβανομένης μιας διαδικασίας που ονομάζεται /bin/sora, διασφαλίζοντας τον πλήρη έλεγχο των πόρων του παραβιασμένου συστήματος.

Χειρίζεται το σύστημα παρακολούθησης υλικού για να διατηρεί τη συσκευή σε λειτουργία χωρίς διακοπή, καθιστώντας τη μόλυνση πολύ δύσκολη να αφαιρεθεί χωρίς άμεση φυσική παρέμβαση.​

Οι οργανισμοί θα πρέπει να επιβάλλουν ισχυρά, μοναδικά διαπιστευτήρια SSH και να απενεργοποιούν τους προεπιλεγμένους κωδικούς πρόσβασης σε όλες τις συσκευές που έχουν πρόσβαση στο διαδίκτυο.

Η παρακολούθηση ακεραιότητας υλικολογισμικού θα πρέπει να εφαρμόζεται σε δρομολογητές, τείχη προστασίας και εξοπλισμό IoT. Οι ενημερώσεις κώδικα θα πρέπει να εφαρμόζονται όσο το δυνατόν γρηγορότερα, δεδομένου ότι τα χρονοδιαγράμματα εκμετάλλευσης μπορεί να είναι τόσο σύντομα όσο μηδέν ημέρες.

Συνιστάται επίσης η παρακολούθηση για ασυνήθιστη εξερχόμενη κίνηση και απροσδόκητες διαδικασίες σε συσκευές δικτύου.