Pesquisadores da Darktrace e da Cado Security identificaram uma nova campanha de malware que revela uma abordagem incomum para mineração de criptomoedas em ambientes Docker. Em vez do tradicional XMRig, os criminosos utilizam uma imagem chamada “kazutod/tene:ten”, hospedada no Docker Hub e já baixada 325 vezes. A imagem inicia um script Python que passa por 63 etapas de descompactação até estabelecer uma conexão com o servidor “teneo[.]pro”, com todo o código fortemente ofuscado para dificultar a análise.
Leia também
Holanda alerta para ataques russos à Europa
Campanhas de phishing apostam em uso do PowerShell
O diferencial desta campanha está no uso da plataforma Teneo Web3 para gerar tokens $TENEO. Ao invés de realizar mineração convencional ou raspagem de dados, o malware mantém uma conexão passiva via WebSocket, simulando atividade contínua com sinais conhecidos como heartbeats. Esses pulsos geram Pontos Teneo, que podem ser convertidos em criptomoedas, mesmo sem processamento intensivo ou coleta real de informações.
O ataque remete a práticas anteriores como o uso do software 9Hits Viewer para gerar tráfego falso e obter vantagens financeiras, ou o Proxyjacking, onde vítimas compartilham largura de banda involuntariamente. Ao evitar o uso do XMRig, facilmente detectado pelas soluções de segurança atuais, os atacantes adotam métodos mais discretos e difíceis de rastrear.
Embora a rentabilidade do esquema ainda seja incerta, sua baixa visibilidade e alto nível de disfarce tornam esse modelo especialmente preocupante. A evolução rápida desses métodos reforça a necessidade de proteção mais dinâmica e adaptável em ambientes de nuvem e contêineres.
