Imaginez un serveur Docker laissé sans surveillance, avec son API grande ouverte sur Internet : c’est précisément là que frappe une nouvelle souche de malware, repérée par les experts d’Akamai en août 2025.
Cette variante évolue d’une campagne de minage de cryptomonnaies signalée par Trend Micro en juin dernier, mais elle abandonne les mineurs bruyants pour miser sur la persistance et des portes dérobées plus sournoises. Au lieu de grignoter de la puissance pour du Bitcoin, elle s’installe en profondeur, bloquant l’accès aux intrus rivaux et posant les bases d’une menace plus élaborée, comme un botnet en gestation.
Le mode d’attaque reste classique pour ce type de menace : les hackers visent les API Docker mal configurées, souvent exposées sur le port 2375 sans chiffrement TLS. Ils lancent un conteneur basé sur l’image légère Alpine Linux, montent le système de fichiers de l’hôte et déploient un script encodé en Base64, téléchargé via le réseau Tor pour masquer leurs traces. Ce script installe des outils essentiels comme curl, Tor et des scanners de masse (tels que masscan), avant d’exécuter un dropper en Go qui compresse et dépose des binaires malveillants. Une fois à l’intérieur, le malware scanne activement d’autres instances vulnérables, propageant l’infection comme une traînée de poudre.
Ce qui rend cette version particulièrement vicieuse, c’est sa stratégie de verrouillage. Pour assurer sa longévité, elle ajoute une clé SSH publique contrôlée par les attaquants dans les autorisations root, configure des tâches cron pour relancer les opérations toutes les minutes, et monte des répertoires hôtes pour un contrôle continu. Mieux encore, elle se protège des concurrents en modifiant les règles de pare-feu (iptables, nft ou firewall-cmd) pour bloquer tout accès futur au port 2375, et même en supprimant les conteneurs suspects déployés par d’autres malwares, comme ceux basés sur Ubuntu. C’est une tactique de “supériorité” qui monopolise la victime, un pas de plus vers une domination exclusive.
Au-delà de la persistance, des indices pointent vers des ambitions futures plus larges. Le code inclut une logique dormante pour exploiter d’autres ports, comme le 23 pour Telnet ou le 9222 pour le débogage distant de Chrome via la bibliothèque chromedp en Go, plus facile pour voler des identifiants, exfiltrer des données ou détourner des sessions de navigation. Bien que ces fonctionnalités ne soient pas encore actives, elles suggèrent une évolution rapide vers un botnet sophistiqué, capable de DDoS ou de vol massif. Les chercheurs notent même un emoji dans le code source, signe possible d’une génération assistée par un modèle d’IA, rendant le malware plus moderne et évasif.
Face à cette menace, la vigilance s’impose pour les administrateurs de conteneurs. Akamai recommande de segmenter les réseaux, de limiter l’exposition des services en ligne, et de verrouiller les identifiants par défaut avec TLS obligatoire. Surveillez les nouveaux conteneurs qui installent des paquets suspects ou scannent les ports, et utilisez des outils comme VirusTotal (bien que cette variante échappe encore à certaines détections). En fin de compte, ce malware rappelle que la commodité d’une API Docker exposée peut vite tourner au cauchemar ; un simple pare-feu bien réglé pourrait bien sauver la mise.
