| Contesto |
Una campagna globale, ShadowRay 2.0, sfrutta CVE-2023-48022 nei cluster Ray esposti per creare una botnet di cryptomining auto-propagante. L'attività dannosa prevede l'implementazione di payload generati dall'intelligenza artificiale per il mining di Monero tramite XMRig, configurati per utilizzare il 60% della CPU ed eludere il rilevamento tramite nomi di processo falsi. La campagna include anche furto di dati e credenziali, reverse shell Python e attacchi DDoS tramite Sockstress, con persistenza ottenuta tramite cron job e modifiche a systemd. I payload vengono distribuiti tramite GitLab e GitHub. |