Peneliti keamanan siber dari Darktrace dan Cado Security mengungkapkan kampanye malware terbaru yang menargetkan lingkungan Docker menggunakan teknik yang belum pernah terdokumentasi sebelumnya. Berbeda dari serangan cryptojacking tradisional yang mengandalkan penambang seperti XMRig, kampanye ini mengadopsi metode baru melalui layanan Web3 bernama Teneo.

Malware ini memanfaatkan Teneo, sebuah jaringan infrastruktur fisik terdesentralisasi (DePIN) yang memungkinkan pengguna menghasilkan token kripto ($TENEO) dengan menjalankan node komunitas. Node ini berfungsi seperti scraper media sosial terdistribusi untuk mengumpulkan konten dari Facebook, X (Twitter), Reddit, dan TikTok.

Namun, malware tersebut tidak melakukan scraping secara langsung. Berdasarkan analisis Darktrace, script Python dalam container hanya menjaga koneksi ke teneo[.]pro melalui WebSocket dan mengirimkan sinyal “keep-alive” agar mendapatkan Teneo Points sebanyak mungkin. Semakin banyak heartbeat yang dikirimkan, semakin besar reward yang diterima.

Serangan dimulai dengan peluncuran container Docker dari image bernama "kazutod/tene:ten" yang tersedia di Docker Hub. Container tersebut mengandung script Python yang sangat ter-obfuscate dan memerlukan 63 iterasi untuk membuka kode sebenarnya.

Container ini telah diunduh sebanyak 325 kali sejak pertama kali diunggah dua bulan lalu.

Kampanye ini mengingatkan pada serangan lain yang mengeksploitasi Docker dengan cara menginstal software 9Hits Viewer, digunakan untuk mengarahkan traffic ke situs tertentu demi mendapatkan kredit.

Aktivitas ini juga sejalan dengan tren ancaman seperti proxyjacking, yaitu praktik membagikan bandwidth internet yang tidak terpakai demi imbalan finansial. Bedanya, metode ini tidak terlalu mencolok seperti XMRig dan bisa jadi sulit terdeteksi oleh sistem keamanan konvensional.

“Karena XMRig sudah sangat dikenali dan mudah dideteksi, penyerang kini mulai mencari metode lain yang lebih tersembunyi untuk menghasilkan uang dari sumber daya komputasi,” ujar Darktrace.

Dalam waktu yang hampir bersamaan, Fortinet FortiGuard Labs melaporkan kemunculan botnet baru bernama RustoBot, yang menyebar melalui kerentanan pada perangkat TOTOLINK dan DrayTek. Target utama serangan ini adalah sektor teknologi di negara-negara seperti Jepang, Taiwan, Vietnam, dan Meksiko.

Peneliti keamanan Vincent Li menambahkan bahwa perangkat jaringan dan IoT kerap kali memiliki pertahanan yang lemah, menjadikannya sasaran empuk bagi para peretas.