该威胁于 2025 年 8 月被发现，采用经过升级的战术，旨在建立持久化根权限，同时阻止其他攻击者访问已被攻陷的系统。 此恶意软件是趋势科技（Trend Micro）于 2025 年 6 月首次报告的某恶意软件变种的重大升级版本。 早期变种主要聚焦于隐藏在 Tor 基础设施后的加密货币挖矿操作，而这一新变种则表现出更复杂的行为模式。 攻击始于利用互联网上可访问的配置不当的 Docker API，具体针对 2375 端口 —— 管理员在此端口不慎暴露了 Docker 守护进程，且未设置适当的身份验证机制。 感染流程的第一步，是攻击者基于 Alpine Linux 镜像创建恶意容器，通过挂载主机文件系统获取特权访问权限。 借助经过 Base64 编码的载荷，该恶意软件从 Tor 隐藏服务下载并执行一个 Shell 脚本，在受攻陷系统中建立多种持久化机制。 阿卡迈（Akamai）的研究人员在常规蜜罐监控过程中发现了这一变种，并指出其行为与此前记录的攻击存在明显差异。 研究人员观察到，与早期变种不同，该变种采用了 “排他策略”，旨在阻止其他竞争威胁行为者访问同一易受攻击的系统。

高级持久化与防御规避机制

该恶意软件最显著的升级之处，在于其采用全面策略确保对已攻陷基础设施的 “独占访问”。 初始攻陷后，攻击会部署一个名为docker-init.sh的脚本，该脚本会实施多层持久化机制与防御措施。 持久化机制通过一系列协同操作实现：首先，恶意软件将攻击者控制的 SSH 公钥添加到/root/.ssh/authorized_keys文件中，从而绕过正常身份验证流程，直接获取根权限访问； 随后，它创建一个每分钟执行一次的定时任务（cron job），通过 iptables、ufw、firewall-cmd、pfctl、nft 等多种防火墙工具，系统性地阻断对 2375 端口的访问，相关代码片段如下： bash

PORT=2375
PROTOCOL=tcp
for fw in firewall-cmd ufw pfctl iptables nft; do
  if command -v "$fw" >/dev/null 2>&1; then
    case "$fw" in
      firewall-cmd)
        firewall-cmd --permanent --zone=public --add-rich-rule="rule family='ipv4' port protocol='tcp' port='2375' reject"
        firewall-cmd --reload

这种防御性阻断是在基于容器的攻击中罕见的 “领地式策略”。 通过系统性关闭为其提供初始访问入口的 Docker API 端口，攻击者可阻止其他恶意行为者利用同一漏洞，同时通过 SSH 访问维持自身已建立的控制权限。

（启动 masscan 扫描的二进制文件（来源：阿卡迈）） 该恶意软件还会安装侦察工具，包括用于网络扫描的 masscan，以及用于匿名通信的 torsocks。 这些组件使恶意软件能够识别并攻陷网络中其他易受攻击的 Docker 实例，为开展大规模僵尸网络操作创造可能。 兼具持久化访问、排他性控制与传播能力的该恶意软件，已成为容器化环境面临的重大威胁。