文章总结： Chaos僵尸网络新变种针对配置错误的Hadoop实例发起攻击，通过未授权访问实现RCE并下载恶意负载。新变种移除SSH横向移动功能，新增SOCKS代理模块使受害主机成为网络跳板，可能与银狐黑产组织相关。建议运维人员收敛云资产攻击面并监控异常出网流量。 综合评分： 85 文章分类： 恶意软件,威胁情报,漏洞分析,安全建设,云安全

警惕！Chaos僵尸网络爆发新变种：你的Hadoop集群沦为SOCKS代理了吗？

Kit Chung Kit Chung

安全圈动向

2026年4月13日 08:04 广东

在小说阅读器读本章

去阅读

各位朋友好，做云原生安全和运维的兄弟们都知道，“云配置错误”绝对是各种安全事故的重灾区。最近，Darktrace的安全老哥们在自家的蜜罐里捕获了一条大鱼——Chaos恶意软件（僵尸网络）的全新变种。

如果你对威胁情报有持续关注，应该记得Chaos在2022年首次被Lumen Black Lotus Labs曝光时，还是个热衷于爆破路由器和边缘设备的“莽夫”。但这次，它彻底进化了，不仅把枪口对准了存在配置错误的云环境，还在核心机制上做了一次大换血。

今天，咱们就来硬核拆解一下这个新变种，看看它是怎么一步步拿下云主机的，以及背后那些细思极恐的黑灰产逻辑。

•••

01 攻击链复现：Hadoop未授权惹的祸

这次被重点“关照”的是存在配置错误的 Hadoop 实例。黑客利用的思路非常直接，本质上是一个未授权访问导致的RCE（远程命令执行）。

根据捕获到的攻击流量，整个入侵过程非常干脆利落。攻击者首先向暴露在公网的 Hadoop 部署发送了一个精心构造的 HTTP 请求，目的是创建一个新的 Application（应用）。

在这个恶意的应用配置中，攻击者直接嵌入了一串典型的“打点+提权+擦屁股”的 Shell 脚本。我把它的执行逻辑还原了一下，基本分为三步：

1. 拉取载荷

   使用 wget 或 curl 从攻击者控制的服务器（域名为 pan.tenire[.]com）下载 Chaos Agent 二进制文件。

2. 赋予权限

   执行 chmod 777，简单粗暴地赋予所有用户读取、修改和执行该恶意文件的权限。

3. 无痕执行

   运行二进制文件后，紧接着执行 rm 命令将硬盘上的实体文件删除。

思考：

这招“落地即焚”是恶意软件对抗取证的常规操作。二进制文件在内存中持续运行，但磁盘上的文件痕迹被抹除了，这极大地增加了应急响应和溯源分析的难度。建议兄弟们平时多关注内存马和无文件攻击的检测手段。

02 核心源码级变动：做减法与做加法

把这个 64 位的 ELF 恶意样本拖进反汇编工具后，我们发现它是一个经过大规模重构的版本。它保留了核心的 DDoS（HTTP、TLS、TCP、UDP、WebSocket）和挖矿功能，但做了两项极其关键的改动：

做减法：砍掉SSH横向移动和路由器漏洞利用 老版的 Chaos 非常依赖爆破 SSH 密钥来进行内网的横向传播。但新变种直接把这部分代码移除了！为什么？因为现在的云环境（如 AWS、阿里云）大多强制使用密钥对，或者有严格的安全组策略限制。无脑爆破 SSH 不仅成功率低，还极其容易触发云安全中心（CWPP）的告警。攻击者显然意识到了这一点，选择了“降噪”。

做加法：新增 SOCKS 代理模块 这是本次变种最硬核、也是最危险的更新。新的 Chaos 在受害主机上拉起了一个 SOCKS 代理服务。这意味着，你的服务器不再仅仅是个帮别人挖门罗币或者打DDoS的“苦力肉鸡”，而是变成了黑客的网络跳板。他们可以通过你的服务器转发恶意流量，隐藏自己真实的 IP 来源，让防守方极难追踪。

此外，Darktrace 的报告还提到，之前版本中继承自更早期的 Kaiji 恶意软件的几项功能也被大量修改，这说明这帮黑客不是简单地套壳，而是真的在认真“做产品迭代”。

03 幕后黑手溯源：又是“银狐”的局？

虽然我们目前无法百分百确认背后的 APT 组织，但通过威胁情报IOC（妥协指标）的碰撞，我们发现了一个极其眼熟的线索。

前面提到的恶意载荷分发域名 pan.tenire[.]com ，并不是个新面孔。去年（2025年）10月，Seqrite Labs 披露了一个代号为 Operation Silk Lure（丝诱行动） 的钓鱼邮件活动。而在那场行动中，用来投递诱饵文档和 ValleyRAT 木马的，正是这个域名！

圈内人都知道，ValleyRAT 和 Operation Silk Lure 背后，活跃着一个大名鼎鼎的中国籍网络犯罪团伙——“银狐”（Silver Fox）。再加上恶意软件代码中残留的中文字符，我们有理由怀疑，这次 Chaos 变种的幕后推手，极有可能就是银狐，或者至少是与他们共享基础设施的黑灰产同行。

04 总结：僵尸网络的“商业化”转型

通过分析这次的 Chaos 新变种，我最大的感受是：现在的黑产也越来越讲究“商业模式”了。

以前的僵尸网络，变现手段很单一：要么勒索打 DDoS，要么白嫖算力挖矿。但现在，随着住宅代理和商业代理在暗网市场的价格水涨船高，把“肉鸡”包装成代理节点（Proxy-as-a-Service）出租，成了一门极其暴利的生意。近期的 AISURU 僵尸网络和这次的 Chaos 变种，都把 SOCKS 代理作为了核心组件，这绝不是巧合。

给运维和安全老哥们的建议：

1. 收敛攻击面

   马上排查你们的云资产，Hadoop YARN、Docker API、Redis 等高危端口，绝对不允许在没有强鉴权的情况下直接裸奔公网！

2. 关注出网流量

   重点监控服务器主动向外的异常连接请求，尤其是长时间维持的未知长连接，这往往是 SOCKS 代理隧道的特征。

技术在演进，黑产也在进化。兄弟们，守好自家的云上大门，咱们下期见！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈动向 Kit Chung Kit Chung《警惕！Chaos僵尸网络爆发新变种：你的Hadoop集群沦为SOCKS代理了吗？》