Palo Alto detecta criptojacking dirigido a centros educativos en EE. UU.

Puntos Importantes

Investigadores de Palo Alto Networks detectaron tres incidentes de criptojacking contra organizaciones educativas en EE. UU.
Los investigadores creen que los ataques provienen de la misma entidad, la cual busca sembrar el software cpuminer para extraer Sugarchain (SUGAR) y CPUchain (CPU).
Hasta ahora, la entidad atacante ha recibido cerca de 6.000 USD de operaciones con criptojacking.

En días recientes, la Unidad 42 de Palo Alto Networks reportó tres incidentes de criptojacking o minería de criptomonedas maliciosa dirigidos a organizaciones educativas en Washington, Estados Unidos. Así lo dio a conocer la firma de ciberseguridad en su página web, el pasado 8 de abril.

Investigadores especializados en seguridad cibernética de la Unidad 42 observaron que ciberatacantes intentaron desplegar mineros de criptomonedas maliciosos como carga útil, luego de aprovecharse exitosamente de vulnerabilidades detectadas. En la publicación realizada por Ken Hsu, Vaibhav Singhal y Zhibin Zhang explicaron lo siguiente:

«Recientemente, los investigadores de la Unidad 42 detectaron un cpuminer lleno de UPX que se entregaba en tráfico malicioso. Si bien el tráfico malicioso parece ser un exploit a primera vista, también hay evidencia de una puerta trasera en la solicitud maliciosa, lo que sugiere que se está ejecutando una puerta trasera en el host comprometido. Una vez recibida la carga útil solicitada, la puerta trasera procede a descargar una variante de cpuminer y a llevar a cabo su operación de criptojacking»
Ken Hsu, Vaibhav Singhal y Zhibin Zhang, investigadores de la Unidad 42 de Palo Alto Networks.

Cabe destacar que cpuminer es un software de minería de criptomonedas para CPU, usado para la minería de Bitcoin, Litecoin y otras monedas criptográficas. Según la información recopilada por los investigadores de la Unidad 42 de Palo Alto Networks, los atacantes detrás de estos incidentes buscaban minar la criptomoneda CPUchain (CPU), cuyo precio es de apenas 0,0028 USD, según cifras de CoinGecko.

Los investigadores expusieron que el primer incidente tuvo lugar el pasado 16 de febrero, en el cual hubo «una puerta trasera disfrazada» para atacar a un dominio web propiedad de una organización educativa en el estado de Washington, cuyo nombre no fue develado por los analistas. Por otro lado, el segundo y tercer incidente ocurrieron con sólo cinco días de diferencia, específicamente el 10 y 15 de marzo; ambos también digiridos a centros educativos, por ello, los analistas creen que se trate de ataques de una misma entidad:

Articulosde interes

Analistas financieros observan gráficos de ingresos y márgenes de Nike en sala de investigación

Wells Fargo mejora su visión y detecta señales tempranas de recuperación

16 de noviembre de 2025

618

Funcionario del Departamento de Defensa revisa gráficos y mapa de riesgo sobre tierras raras

JPMorgan eleva su proyección para un proveedor de materiales críticos tras el respaldo del Pentágono

16 de noviembre de 2025

675

«La solicitud maliciosa, en comparación con el incidente, presenta varias similitudes. Es el mismo patrón de ataque que entrega la misma carga útil de cpuminer contra la misma industria (educación), lo que sugiere que probablemente sea el mismo perpetrador detrás de la operación de criptojacking»
Ken Hsu, Vaibhav Singhal y Zhibin Zhang, investigadores de la Unidad 42 de Palo Alto Networks.

De acuerdo con los investigadores de Palo Alto Networks, el objetivo que persigue la entidad detrás de estos ataques es la de generar criptomonedas con los recursos de las organizaciones educativas, y recibirlas en dos direcciones específicas de criptomonedas:

«CMsX5dXBq8nLPa2fkC9KX1mQiUgErYj7ai » y » sugar1q4aegj76eaeq9jwz3s5ct884grznwzx4wv7ah69 «

La primera dirección corresponde a la criptomoneda CPUchain, de la cual ha recibido 557.589 CPU, equivalentes a unos 1.561 USD. La segunda dirección es del proyecto de criptomoneda Sugarchain (SUGAR), cuyo activo se cotiza actualmente en 0,00358 USD, de acuerdo con CoinGecko. La entidad atacante ha recibido, hasta ahora, 1.228.692 SUGAR, equivalentes a unos 4.399 USD.

Tal como reportó Bitfinanzas, la Unidad 42 de Palo Alto Networks divulgó a finales de marzo que 30 imágenes maliciosas en Docker Hub fueron descargadas 20 millones de veces, con software para criptojacking. Según los analistas, la mayoría de los programas maliciosos asociados son utilizados para la extracción de la criptomoneda Monero (XMR), e infirieron que los atacantes han recibido alrededor de 200.000 USD a partir de las operaciones de cryptojacking.