5 min
Il cloud computing di Amazon torna nel mirino dei cryptojacker: una sofisticata campagna di mining non autorizzato ha colpito i clienti AWS utilizzando credenziali IAM compromesse, introducendo tecniche di persistenza mai osservate prima che complicano significativamente le operazioni di incident response. L'attacco, rilevato per la prima volta il 2 novembre 2025 dal servizio GuardDuty di Amazon, rappresenta un'evoluzione preoccupante nelle metodologie di cryptojacking su infrastrutture cloud, con i malintenzionati capaci di deployare miner operativi in appena 10 minuti dall'accesso iniziale. La velocità e la sofisticazione dell'operazione evidenziano come il mining illecito di criptovalute continui a rappresentare una minaccia concreta per le infrastrutture enterprise, sfruttando risorse computazionali altrui per generare profitti in crypto.
Gli attaccanti hanno dimostrato una profonda conoscenza dell'ecosistema AWS, utilizzando credenziali IAM con privilegi amministrativi per orchestrare un attacco multi-stage estremamente efficiente. La fase iniziale prevede un'accurata ricognizione dell'ambiente target attraverso l'enumerazione delle quote EC2 disponibili, ma l'elemento più interessante riguarda l'uso del flag "DryRun" nelle chiamate API RunInstances. Questa tecnica permette di validare i permessi IAM senza effettivamente lanciare istanze, evitando così di generare costi anomali che potrebbero allertare i sistemi di monitoraggio e riducendo al minimo le tracce forensi dell'intrusione.
Una volta verificata l'idoneità dell'infrastruttura target, i threat actor procedono con la creazione di ruoli IAM dedicati per autoscaling group e AWS Lambda tramite le chiamate CreateServiceLinkedRole e CreateRole. Il deployment vero e proprio del malware avviene attraverso cluster Amazon ECS, con alcune vittime che hanno visto la creazione di oltre 50 cluster in un singolo attacco. L'immagine Docker malevola utilizzata, originariamente ospitata su DockerHub come "yenik65958/secret:user" prima di essere rimossa, esegue uno script shell configurato per avviare il mining utilizzando l'algoritmo RandomVIREL.
La campagna si distingue per l'impiego strategico di autoscaling group configurati per scalare da 20 fino a 999 istanze, sfruttando al massimo le quote di servizio EC2 disponibili. Gli attaccanti hanno preso di mira sia istanze ad alte prestazioni GPU e machine learning, particolarmente efficienti per il mining, sia istanze general-purpose, compute e memory-optimized, diversificando l'approccio per massimizzare il consumo di risorse e la generazione di crypto. Questa strategia multi-target suggerisce un'operazione ben pianificata e orientata alla scalabilità.
L'elemento più innovativo e preoccupante della campagna riguarda l'uso dell'azione ModifyInstanceAttribute con il parametro "disableApiTermination" impostato su "True". Questa tecnica di persistence impedisce la terminazione delle istanze compromesse tramite console EC2, CLI o API, obbligando le vittime a riabilitare manualmente la terminazione API prima di poter eliminare le risorse infette. Si tratta di una contromisura difensiva che dimostra una comprensione approfondita delle procedure standard di security response e un chiaro intento di massimizzare la durata delle operazioni di mining, rallentando significativamente i workflow di remediation automatizzata.
Non è la prima volta che i rischi associati a ModifyInstanceAttribute emergono nel panorama della sicurezza cloud. Nell'aprile 2024, il ricercatore Harsha Koushik aveva già pubblicato un proof-of-concept che dimostrava come questa funzionalità potesse essere abusata per compromettere istanze, esfiltrar credenziali dei ruoli e potenzialmente assumere il controllo completo di interi account AWS. La nuova campagna conferma che i threat actor hanno integrato queste tecniche nei loro playbook operativi, elevando il livello di sofisticazione degli attacchi di cryptojacking su infrastrutture cloud.
Gli attaccanti hanno inoltre creato funzioni Lambda invocabili da qualsiasi principal e un utente IAM denominato "user-x1x2x3x4" con policy managed AmazonSESFullAccess associata. Questa configurazione garantisce accesso completo al servizio Amazon Simple Email Service, suggerendo che la campagna potrebbe estendersi oltre il semplice mining per includere operazioni di phishing o spam, rappresentando una minaccia multi-vettore per le organizzazioni compromesse. L'integrazione di capacità di phishing accanto al cryptojacking indica un approccio opportunistico volto a monetizzare l'accesso in molteplici modi.
AWS ha chiarito a The Hacker News che l'attività descritta non costituisce una vulnerabilità nei servizi cloud della compagnia, ma richiede necessariamente che i threat actor siano già in possesso di credenziali valide. Amazon ha sottolineato di aver rilevato proattivamente la campagna in corso e allertato tempestivamente i clienti interessati, nonostante queste azioni ricadano nel "dominio del cliente" del modello di responsabilità condivisa. La distinzione è importante: il problema non risiede nell'infrastruttura AWS, ma nella gestione delle credenziali da parte degli utenti.
Per mitigare questa tipologia di minaccia, Amazon raccomanda l'implementazione di controlli rigorosi su identity e access management, privilegiando l'uso di credenziali temporanee rispetto alle access key a lungo termine. L'autenticazione multi-fattore dovrebbe essere obbligatoria per tutti gli utenti, mentre il principio di least privilege deve guidare la configurazione dei permessi IAM. Sul fronte del monitoraggio, l'abilitazione di AWS CloudTrail per il logging degli eventi e di GuardDuty per workflow di risposta automatizzata rappresenta un requisito fondamentale per identificare tempestivamente attività anomale come richieste inusuali di allocazione CPU nelle task definition ECS o scan di immagini container sospette.
La campagna rappresenta un'evoluzione significativa nelle metodologie di attacco crypto mining, con l'uso combinato e scriptato di molteplici servizi di compute e tecniche di persistence emergenti che alzano l'asticella della minaccia. Per le organizzazioni che operano su infrastrutture cloud, questo episodio sottolinea l'importanza di un approccio defense-in-depth che integri gestione sicura delle credenziali, monitoraggio proattivo e capacità di response rapida. Il cryptojacking continua a evolversi come vettore di minaccia economicamente motivato, sfruttando la potenza computazionale altrui per generare profitti in criptovalute senza sostenere i costi energetici e infrastrutturali del mining legittimo.