Amazon detecta campaña masiva de cryptomining en AWS usando credenciales IAM comprometidas

Amazon reveló la detección de una campaña a gran escala de minería de criptomonedas que abusa de credenciales IAM comprometidas para desplegar mineros de forma automatizada en Amazon ECS y EC2, empleando técnicas avanzadas de persistencia y evasión diseñadas para maximizar el consumo de recursos cloud y dificultar la respuesta de seguridad.

El hallazgo subraya el atractivo continuo de las plataformas cloud como objetivo para criptominería ilícita impulsada por robo de identidades digitales.

Cómo inicia el ataque

De acuerdo con Amazon GuardDuty, la actividad fue identificada el 2 de noviembre de 2025 y comienza cuando los atacantes obtienen credenciales IAM con privilegios administrativos. Con ese acceso, ejecutan un proceso metódico de reconocimiento y validación de permisos.

Entre las técnicas observadas destaca el uso de llamadas API como "RunInstances" con la opción  DryRun, que permite confirmar capacidades de despliegue sin incurrir en costos ni dejar indicadores evidentes en la facturación.

Este paso inicial les permite mapear el entorno y preparar la fase de explotación sin levantar alertas tempranas.

Despliegue automatizado de mineros en ECS y EC2

Una vez validado el acceso, los atacantes:

• Crean roles IAM adicionales para autoscaling y funciones Lambda

• Registran tareas maliciosas en ECS

• Despliegan imágenes Docker alojadas en DockerHub, entre ellas yenik65958/secret:user

Estas imágenes ejecutan mineros basados en el algoritmo RandomVIREL, optimizado para entornos cloud.

En algunos incidentes, los actores de amenaza llegaron a crear más de 50 clústeres ECS, aprovechando configuraciones de alto límite de cuotas para escalar rápidamente la operación.

Persistencia y evasión deliberada

La campaña demuestra un conocimiento profundo de los mecanismos de respuesta de AWS. Entre las técnicas de persistencia y evasión documentadas se incluyen:

• Activación de protección contra terminación de instancias mediante ModifyInstanceAttribute, bloqueando acciones automáticas de remediación

• Escalamiento agresivo de grupos de autoscaling, pasando de 20 a hasta 999 instancias

• Uso de ECS Fargate para desplegar nodos sin servidor, reduciendo la visibilidad tradicional de infraestructura

Además, los atacantes crean funciones Lambda invocables por cualquier principal, así como usuarios IAM con acceso total a Amazon SES, que podrían ser utilizados para campañas de phishing u operaciones secundarias.

Vectores iniciales y alcance del impacto

Según Amazon, los atacantes operan desde proveedores de hosting externos y logran desplegar mineros en cuestión de minutos tras obtener acceso inicial. El foco principal son cuentas con cuotas EC2 elevadas, donde el impacto económico puede ser inmediato y significativo.

Aunque la imagen Docker identificada fue retirada de DockerHub, la campaña continúa activa debido a la exposición recurrente de credenciales IAM en repositorios públicos, archivos de configuración filtrados y brechas previas.

Recomendaciones clave para equipos cloud y DevOps

Amazon emitió una serie de recomendaciones urgentes para mitigar este tipo de abusos:

• Utilizar credenciales temporales en lugar de llaves estáticas

• Habilitar MFA obligatorio para todos los usuarios IAM

• Aplicar el principio de menor privilegio en políticas IAM

• Escanear imágenes de contenedores antes de su despliegue

• Monitorear solicitudes anómalas de CPU y uso de recursos en ECS y EC2

• Activar GuardDuty junto con CloudTrail para detección temprana

Un recordatorio sobre seguridad en la nube

La campaña confirma que la minería ilícita en la nube ya no depende de malware sofisticado, sino de la explotación sistemática de identidades cloud mal protegidas. Para organizaciones que operan en AWS, la gestión de credenciales y permisos se ha convertido en un control de seguridad crítico, con impacto directo en costos, disponibilidad y reputación.