I ricercatori di Akamai hanno seguito e analizzato Mexals, una campagna di cryptojacking probabilmente di origine rumena, attiva almeno dal 2020 e precedentemente trattata in un report di Bitdefender di luglio 2021.
La nuova ondata di attacchi e miglioramenti del malware sembra essere iniziata nell’ottobre 2022. I ricercatori di sicurezza Akamai hanno iniziato a seguire la campagna in seguito al rilevamento di un DNS dannoso presso un cliente Akamai. Uno dei cambiamenti tra le due campagne è il nome: il gruppo, precedentemente noto come Mexals, ora si fa chiamare Diicot, e uno dei loro strumenti porta lo stesso nome.
Gli attaccanti utilizzano una lunga catena di payload prima di rilasciare un cryptominer Monero. Le nuove funzionalità includono l’uso di un modulo worm del protocollo Secure Shell (SSH), un aumento delle segnalazioni, un migliore isolamento del payload e un nuovo modulo di diffusione della LAN.
