Il team di ricerca Akamai Hunt ha individuato una nuova e sofisticata campagna di malware che prende di mira le API Docker esposte a internet, mostrando capacità di infezione e diffusione più avanzate rispetto alle varianti precedentemente osservate.
Il malware, originariamente segnalato a giugno 2025 da Trend Micro, era stato utilizzato per distribuire un cryptominer mascherando le comunicazioni tramite Tor.
La nuova campagna malware contro le Docker API
La nuova variante scoperta da Akamai introduce però un cambio di passo significativo: invece di limitarsi al mining, il codice malevolo implementa tecniche di persistenza e di esclusione degli altri attaccanti, bloccando l’accesso alle API Docker compromesse per garantirsi il controllo esclusivo della macchina infetta.
Le analisi condotte dal team Hunt hanno rivelato che il malware non si limita a colpire container vulnerabili, ma può installare strumenti di scansione, propagarsi a nuovi obiettivi e persino preparare il terreno per la creazione di una botnet più complessa. Tra le funzionalità rilevate:
- utilizzo di masscan per identificare ulteriori Docker API esposte
- blocco automatico della porta 2375 per prevenire accessi concorrenti
- tentativi di sfruttamento su altre porte critiche, come Telnet (23) e il debugger remoto di Chrome (9222)
- capacità di connessione e comunicazione con server nascosti su rete Tor
Come difendersi?
Per contrastare minacce di questo tipo, Akamai raccomanda alle organizzazioni alcune misure fondamentali:
- segmentare la rete e isolare i servizi Docker da quelli esposti pubblicamente
- limitare l’accesso da internet solo ai servizi strettamente necessari
- utilizzare password robuste e cambiare le credenziali predefinite sui dispositivi
- proteggere con attenzione porte sensibili come la 9222 di Chrome
L’attività del team Hunt conferma ancora una volta l’importanza del monitoraggio proattivo e della threat intelligence basata su scenari reali. Attraverso la propria rete di honeypot distribuiti globalmente, Akamai continua a intercettare le più recenti tecniche e strumenti degli attaccanti, fornendo ai clienti difese aggiornate e tempestive.
Akamai continuerà a monitorare queste e altre minacce e fornirà ulteriori informazioni non appena si presenteranno.
