
La operación de cryptojacking conocida como Equipo TNT Es probable que haya resurgido como parte de una nueva campaña dirigida a las infraestructuras de servidores privados virtuales (VPS) basadas en el sistema operativo CentOS.
“El acceso inicial se logró a través de un ataque de fuerza bruta de Secure Shell (SSH) a los activos de la víctima, durante el cual el actor de la amenaza cargó un script malicioso”, dijeron los investigadores del Grupo IB Vito Alfano y Nam Le Phuong. dicho en un informe del miércoles.
El script malicioso, señaló la empresa de ciberseguridad de Singapur, es responsable de deshabilitar funciones de seguridad, eliminar registros, finalizar procesos de minería de criptomonedas e inhibir los esfuerzos de recuperación.
Las cadenas de ataque finalmente allanan el camino para la implementación del rootkit Diamorphine para ocultar procesos maliciosos y, al mismo tiempo, configurar un acceso remoto persistente al host comprometido.
La campaña ha sido atribuida a TeamTNT con moderada confianza, citando similitudes en las tácticas, técnicas y procedimientos (TTP) observados.

TeamTNT fue descubierto por primera vez en 2019, realizando actividades ilícitas de minería de criptomonedas infiltrándose en entornos de nube y contenedores. Si bien el actor de amenazas se despidió en noviembre de 2021 al anunciar un “abandono definitivo”, los informes públicos han descubierto varias campañas llevadas a cabo por el equipo de piratas informáticos desde septiembre de 2022.
La última actividad vinculada al grupo se manifiesta en forma de un script de shell que primero verifica si fue infectado previamente por otras operaciones de cryptojacking, después de lo cual procede a perjudicar la seguridad del dispositivo desactivándolo. SELinuxAppArmor y el firewall.
![]() |
| Cambios implementados en el servicio ssh |
“El script busca un demonio relacionado con el proveedor de la nube Alibaba, llamado aliyun.service”, dijeron los investigadores. “Si detecta este demonio, descarga un script bash desde update.aegis.aliyun.com para desinstalar el servicio”.
Además de matar todos los procesos de minería de criptomonedas en competencia, el script toma medidas para ejecutar una serie de comandos para eliminar los rastros dejados por otros mineros, finalizar los procesos en contenedores y eliminar las imágenes implementadas en conexión con cualquier minero de monedas.
Además, establece persistencia configurando trabajos cron que descargan el script de shell cada 30 minutos desde un servidor remoto (65.108.48[.]150) y modificar el archivo “/root/.ssh/authorized_keys” para agregar una cuenta de puerta trasera.
“Bloquea el sistema modificando los atributos de los archivos, creando un usuario de puerta trasera con acceso root y borrando el historial de comandos para ocultar sus actividades”, señalaron los investigadores. “El actor de la amenaza no deja nada al azar; de hecho, el script implementa varios cambios dentro de la configuración del servicio SSH y del firewall”.






