- Koske es un malware para Linux desarrollado con la ayuda de inteligencia artificial y técnicas avanzadas de poliglotismo en imágenes JPEG.
- La amenaza consigue infectar sistemas mediante imágenes de osos panda alojadas en servicios legítimos, que contienen código ejecutable.
- Su principal función es minar criptomonedas usando recursos de CPU y GPU de los sistemas comprometidos.
- La adaptación y persistencia del malware dificultan su detección y remoción en sistemas afectados.
La seguridad en sistemas Linux se enfrenta actualmente a una amenaza emergente: el malware Koske, cuyo desarrollo se atribuye en parte al uso de inteligencia artificial. Investigadores de ciberseguridad han identificado un incremento en la sofisticación de los ataques que emplean técnicas innovadoras para evadir la detección e infectar dispositivos, sirviendo como advertencia de un nuevo escenario en la ciberdelincuencia.
El hallazgo, realizado por especialistas de AquaSec, señala que Koske representa una evolución notable en el malware orientado a Linux. Su diseño modular y adaptativo, junto con la utilización de grandes modelos de lenguaje (LLM) y marcos de automatización IA, le confieren una capacidad de respuesta y persistencia superior a la habitual en amenazas previas. Este malware no se limita únicamente a la infección: busca aprovechar al máximo los recursos del sistema víctima para minar criptomonedas.
Cómo actúa Koske: imágenes inocentes, peligro real
Una de las características más llamativas de Koske es su método de propagación: utiliza imágenes JPEG de osos panda que en apariencia son totalmente inofensivas. Sin embargo, estas imágenes no sólo cumplen su función visual, sino que también esconden en su interior código malicioso preparado para ejecutarse en memoria. A diferencia de la esteganografía tradicional, Koske recurre al concepto de archivos polígloatas, permitiendo que un mismo archivo sea interpretado tanto como imagen como script o binario, dependiendo de cómo sea abierto por el sistema.
La infección suele comenzar por configuraciones incorrectas en servicios como JupyterLab. Los atacantes aprovechan estas vulnerabilidades para subir las imágenes modificadas a través de plataformas de alojamiento legítimas como OVH Images, FreeImage y PostImage. Una vez en el sistema de la víctima, el malware analiza la máquina, asegurando su persistencia mediante cambios en archivos críticos y escondiéndose mediante técnicas avanzadas de rootkit.
Cada una de las imágenes involucradas en el ataque contiene dos cargas útiles que se ejecutan de forma paralela: una corresponde a un código en C que se compila y ejecuta como un objeto compartido en memoria, funcionando como rootkit, y la otra es un script de shell capaz de actuar directamente desde la RAM. Este guion aprovecha utilidades estándar del sistema Linux para evitar ser detectado y dejar el mínimo rastro posible.
Además, Koske modifica la configuración de red, rescribiendo el archivo /etc/resolv.conf para utilizar DNS de Cloudflare y Google, bloqueando posibles restricciones de red y asegurando la estabilidad de la conexión con los servidores de los atacantes. También elimina variables relacionadas con proxies y ejecuta módulos diseñados para forzar la activación de servidores proxy mediante curl, wget y peticiones TCP.
Objetivo: minería de criptomonedas con eficiencia y flexibilidad
El propósito esencial del malware no es otro que el exprimir los recursos de las máquinas Linux infectadas. Koske es capaz de analizar la CPU y GPU disponibles para escoger entre una lista interna de hasta 18 criptomonedas, incluyendo Monero, Ravencoin, Zano, Nexa y Tari, para determinar cuál resulta más rentable de minar en cada caso. Esta selección dinámica y el cambio automático a monedas alternativas si falla el minado, ponen de manifiesto el alto grado de automatización y adaptación del malware.
Los recursos de los equipos infectados pueden verse afectados, causando ralentizaciones, sobrecalentamiento o incluso bloqueos, lo que puede pasar inadvertido en la experiencia habitual de uso, aunque también puede evidenciarse mediante estos síntomas indirectos.
Cómo protege la comunidad Linux ante estas amenazas
Ante la aparición de amenazas como Koske, resulta esencial reforzar las estrategias de seguridad en sistemas Linux, incluso para usuarios avanzados. Algunas recomendaciones prácticas incluyen:
- Mantener siempre actualizado el sistema operativo y los paquetes instalados.
- Utilizar herramientas como AppArmor o SELinux para limitar los privilegios de cada proceso.
- Evitar operar con permisos de root salvo cuando sea estrictamente necesario.
- Vigilar los cambios en archivos críticos (.bashrc, cron, rc.local y servicios de systemd), usando soluciones como Auditd o Tripwire.
- Configurar de forma estricta el cortafuegos y supervisar las modificaciones en las reglas DNS.
- No ejecutar scripts ni archivos de origen dudoso, ni conceder privilegios de ejecución sin verificar su procedencia.
- Instalar soluciones antivirus como ClamAV, Chkrootkit o LMD y herramientas específicas como rkhunter para detectar rootkits.
- Aplicar políticas de contraseñas robustas y restringir el acceso a servicios sensibles, especialmente si se utilizan entornos como JupyterLab en redes públicas.
La prevención y la concienciación son clave en un panorama donde la inteligencia artificial puede ser utilizada tanto para proteger como para atacar. Koske ejemplifica cómo la innovación tecnológica también puede ser aprovechada por ciberdelincuentes cada vez más sofisticados.