Un nuevo botnet de DDoS recientemente descubierto está explotando servidores Jenkins expuestos para lanzar potentes ataques contra la infraestructura de juegos del Valve Source Engine. Investigadores de seguridad de Darktrace identificaron la amenaza tras capturarla en uno de sus sistemas honeypot. Lo que destaca de este malware es su enfoque específico en servidores de videojuegos, combinado con una infección inteligente.

Una botnet DDoS recién descubierta está explotando servidores Jenkins expuestos para lanzar ataques potentes contra la infraestructura de juegos Valve Source Engine.

Investigadores de seguridad de Darktrace identificaron la amenaza tras capturarla en uno de sus sistemas honeypot.

Lo que hace que este malware destaque es su objetivo específico en servidores de videojuegos, combinado con un proceso de infección inteligente que funciona en múltiples sistemas operativos.

Jenkins es una herramienta de integración continua ampliamente utilizada que ayuda a los desarrolladores de software a ejecutar pruebas y construir código automáticamente.

Cuando está mal configurado, puede exponer un punto final de ejecución de código remoto que los atacantes aprovechan.

En esta campaña, los atacantes encontraron una instancia de Jenkins con una contraseña débil y usaron esa puerta abierta para entregar código malicioso en la máquina objetivo.

El método de ataque es simple pero efectivo, ya que muchas organizaciones todavía dejan Jenkins accesible sin una autenticación fuerte.

Los analistas de Darktrace identificaron primero esta amenaza el 18 de marzo de 2026, cuando un actor de amenazas atacó un honeypot de Jenkins operado por la red global de honeypots de la empresa conocida como “CloudyPots”.

Investigaciones posteriores del equipo de Investigación de Amenazas de Darktrace confirmaron que la botnet fue construida específicamente para atacar servidores de juegos Valve Source Engine, incluidos aquellos que ejecutan Counter-Strike y Team Fortress 2.

Los hallazgos reflejan un patrón más amplio donde los ciberatacantes están apuntando cada vez más al sector del gaming, que Cloudflare ha identificado como la cuarta industria más atacada a nivel mundial.

Una vez que un servidor Jenkins se ve comprometido, el malware despliega cargas útiles (payloads) tanto para sistemas Windows como Linux. En Windows, se descarga un payload desde una IP remota y se guarda bajo un nombre de archivo disfrazado de archivo de actualización del sistema.

En Linux, un comando Bash extrae el payload al directorio /tmp y lo ejecuta. La IP utilizada tanto para la entrega como para la comunicación de comando y control (C2) pertenece a un proveedor de hosting vietnamita, lo cual es inusual ya que la mayoría de las familias de malware mantienen su infraestructura de entrega y C2 separadas para una mayor resiliencia.

La botnet soporta múltiples métodos de DDoS, incluyendo inundaciones UDP (UDP floods), ataques TCP push e inundaciones de solicitudes HTTP. Una técnica llamada “attack_dayz” envía paquetes de consulta de TSource Engine, que obligan a los servidores de Valve Source Engine a devolver grandes volúmenes de datos.

Al inundar un objetivo con solicitudes pequeñas y provocar respuestas grandes, un atacante puede agotar los recursos del servidor utilizando un ancho de banda comparativamente bajo, convirtiéndolo en un peligroso ataque de amplificación para los operadores de servidores de juegos.

Mecanismo de Infección y Persistencia

Después de aterrizar en un sistema Linux, el malware trabaja inmediatamente para permanecer oculto y resistir la eliminación. Establece variables de entorno de Jenkins como “dontKillMe”, engañando a Jenkins para que permita que el proceso se ejecute más allá de su tiempo de espera habitual.

Sin esto, Jenkins cerraría automáticamente el proceso malicioso. Este paso pequeño pero efectivo permite que el malware sobreviva en un servidor comprometido sin detección inmediata.

Luego, el malware elimina su ejecutable original y se renombra para parecer un proceso legítimo del kernel de Linux, ya sea “ksoftirqd/0” o “kworker”, ambos presentes en instalaciones estándar de Linux.

Utiliza un método de doble fork para ejecutarse silenciosamente como un demonio de fondo y redirige todos los canales de entrada, salida y error a /dev/null, asegurando que no queden registros.

También intercepta señales de terminación como SIGTERM, provocando que sean ignoradas y haciendo que sea más difícil detener el proceso mediante comandos normales.

Una vez activo, el malware se conecta al servidor C2, informa sobre la arquitectura del sistema y entra en un bucle esperando instrucciones de ataque.

Existen tres comandos de utilidad: “PING” para comprobaciones de mantenimiento, “!stop” para salir y “!update” para descargar una versión más reciente del servidor C2 y reiniciar.

Los operadores de servidores que ejecutan juegos de Valve Source Engine deberían actuar ahora para reducir su exposición.

Eliminar el acceso público a los puntos finales de Jenkins, imponer una autenticación fuerte y monitorear el tráfico saliente en busca de conexiones inusuales son pasos iniciales esenciales.

También se recomienda bloquear el puerto TCP 5444 a nivel de firewall, ya que el payload utiliza este puerto para la comunicación C2.

Las organizaciones deben bloquear la IP del atacante confirmada 103[.]177.110.202 en el perímetro de la red y revisar todos los indicadores de compromiso publicados sin demora.