El equipo de seguridad de Akamai ha detectado una nueva variante de malware dirigida a APIs de Docker expuestas, identificada en agosto de 2025 en su infraestructura de honeypots.
¿Qué es Docker?
Docker permite ejecutar aplicaciones en contenedores, pequeñas “cajas virtuales” que incluyen todo lo necesario (código, librerías, configuraciones) para que la aplicación funcione igual en cualquier entorno.
Hallazgos principales
- La primera versión, descubierta por Trend Micro en junio de 2025, instalaba un criptominero desde un dominio en Tor.
- La variante actual bloquea el acceso externo a la API de Docker, cambia el binario y descarga un archivo con herramientas adicionales y mayores capacidades de propagación.
- El informe de Akamai ofrece detalles técnicos, diferencias entre ambas versiones e indicadores de compromiso (IOC) para apoyar la defensa.
Riesgos
Si Docker se configura de forma insegura (p. ej. con puertos abiertos), puede ser explotado para formar botnets de servidores zombies. Los atacantes logran un control significativo de los sistemas.
Esta cepa de malware Docker recién descubierta pone de relieve la necesidad de que la comunidad investigadora continúe su valiosa labor para ayudar a los defensores. Los atacantes siguen estando a la vanguardia, a menudo aprovechando amenazas o vulnerabilidades conocidas y modificándolas solo lo suficiente para evadir la detección o, peor aún, preparándose para causar aún más estragos en el futuro.
Recomendaciones
Los atacantes pueden obtener un gran control sobre los sistemas afectados por el abuso de API. La importancia de segmentar las redes, limitar la exposición de los servicios a internet
y proteger las credenciales predeterminadas es fundamental. Al adoptar estas medidas, las organizaciones pueden reducir significativamente su vulnerabilidad a estas amenazas.
El equipo Akamai Hunt continúa monitorizando e informando sobre los hallazgos de incidentes reales para proteger a sus clientes y a la comunidad de seguridad en general.
