Docker-Malware missbraucht Teneo-Web3-Knoten zur Krypto-Monetarisierung
Cyberkriminelle setzen auf eine neue Methode, um Docker-Umgebungen für ihre Zwecke zu missbrauchen: Statt klassischem Krypto-Mining nutzen sie das Web3-Netzwerk Teneo und fälschen systematisch digitale Aktivitätssignale, um Krypto-Token zu generieren.
Sicherheitsexperten von Darktrace und Cado Security haben eine neue Malware-Kampagne analysiert, die gezielt Docker-Umgebungen ins Visier nimmt. Anders als bei klassischen Cryptojacking-Angriffen, bei denen Tools wie XMRig direkt Kryptowährungen schürfen, setzt diese Kampagne auf ein bislang unbekanntes Konzept: Heartbeat-Signale als Belohnungsmechanismus.
Im Zentrum des Angriffs steht Teneo, ein Web3-Projekt im Bereich Dezentrale Physische Infrastrukturnetze (DePIN). Nutzer können dort durch den Betrieb sogenannter Community Nodes maschinell Social-Media-Daten etwa aus Facebook, X, Reddit und TikTok sammeln und dafür mit Teneo-Punkten belohnt werden. Diese Punkte lassen sich $TENEO Tokens umwandeln, die auf Krypto-Börsen handelbar sind – also echten monetären Wert darstellen.
$TENEO Tokens sind auch Teil eines Web3-Bezahlsystems, bei dem Nutzer digitale Infrastruktur (wie Rechenleistung, Bandbreite oder Datenverarbeitung) bereitstellen und dafür dezentral vergütet werden.
Malware über Docker-Image verbreitet
Die Angreifer nutzen ein Container-Image namens kazutod/tene:ten, das über Docker Hub verfügbar war und rund 325 Mal heruntergeladen wurde. Dieses Image enthält ein stark verschleiertes Python-Skript, das erst nach 63 Entpackungsschritten den eigentlichen Schadcode offenbart. Ziel: Eine Verbindung zur Domain teneo[.]pro aufbauen und über WebSocket fortlaufend Heartbeat-Signale senden – ohne echte Daten zu erfassen oder zu übertragen.
Der Trick: Laut Teneo hängt die Belohnungshöhe maßgeblich von der Anzahl der übermittelten Aktivitätssignale ab. Die Malware simuliert lediglich Aktivität und nutzt so das System aus, ohne Ressourcen für echte Datenverarbeitung zu verbrauchen.
Eine neue Stufe der Monetarisierung
Die Kampagne erinnert an eine andere bekannte Bedrohungsaktivität, bei der falsch konfigurierte Docker-Instanzen mit der 9Hits-Viewer-Software infiziert werden, um gezielt Traffic auf bestimmte Webseiten zu lenken – im Tausch gegen sogenannte Credits. Auch sogenannte Proxyjacking-Modelle, bei denen Bandbreite monetarisiert wird, folgen einem ähnlichen Prinzip.
„Angreifer weichen zunehmend von traditionellen Cryptojacking-Tools wie XMRig ab, weil diese zu leicht erkannt werden“, erklärt Darktrace. Ob die neue Methode lukrativer ist, bleibt offen – fest steht aber: Sie ist unauffälliger und clever auf bestehende Web3-Systeme abgestimmt.
Das Container-Image ist auf Docker Hub inzwischen nicht mehr zum Download verfügbar. Der zugehörige Account ist jedoch weiterhin aktiv.
Weitere Malware-Kampagnen im Umlauf
Parallel veröffentlichte Fortinet FortiGuard Labs Details zur Botnet-Kampagne RustoBot, die gezielt Schwachstellen in IoT-Routern von TOTOLINK und DrayTek ausnutzt (unter anderem CVE-2022-26210 und CVE-2024-12987). Ziel sind vor allem Unternehmen in Japan, Taiwan, Vietnam und Mexiko, um dort DDoS-Angriffe durchzuführen.
Die Angriffe zeigen eindrucksvoll, wie flexibel moderne Malware auf neue digitale Ökosysteme reagiert. Besonders Docker-Umgebungen, IoT-Geräte und Web3-Infrastrukturen geraten zunehmend ins Kreuzfeuer – mit Methoden, die sich nur schwer mit herkömmlichen Mitteln erkennen lassen. Unternehmen sind gut beraten, das Monitoring ihrer Endpunkt- und Container-Security regelmäßig zu stärken.