Die Sicherheitsforscherin Mark Ellzey von Censys hat in ihrem am Montag veröffentlichten Bericht eine systematische Angriffskampagne dokumentiert, die gezielt nach anfälligen ComfyUI-Instanzen in Cloud-Infrastrukturen fahndet. Die Attacke nutzt eine Fehlkonfiguration aus, die Remote Code Execution auf unauthentifizierten Systemen durch Custom Nodes ermöglicht.
Die Angreifer setzen dabei eine ausgefeilte Automatisierung ein: Ein speziell entwickelter Python-Scanner durchsucht kontinuierlich die IP-Bereiche großer Cloud-Provider. Sobald eine verwundbare Instanz gefunden wird, installiert die Malware automatisch bösartige Knoten über den ComfyUI-Manager, falls nicht bereits ein ausnutzbarer Knoten vorhanden ist.
Tripel-Monetarisierungsstrategie
Nach erfolgreicher Kompromittierung werden die befallenen Server für mehrere illegale Aktivitäten eingespannt: Das System schürft die Kryptowährung Monero via XMRig und Conflux via lolMiner. Zusätzlich wird jeder kompromittierte Host in ein Hysteria-V2-Botnet integriert. Alle Operationen werden zentral über ein Flask-basiertes Command-and-Control-Dashboard gesteuert.
Die Entdeckung gelang den Censys-Forschern, als sie ein offenes Verzeichnis auf der IP-Adresse 77.110.96[.]200 identifizierten. Diese ist mit dem Bulletproof-Hosting-Anbieter Aeza Group verbunden. Das Verzeichnis enthielt ein komplettes Toolkit mit Aufklärungstools und Exploitation-Frameworkern.
Raffinierte Persistenz-Mechanismen
Besonders bemerkenswert ist die Hartnäckigkeit der Malware. Das System nutzt mehrere Persistenz-Techniken: Ein Shell-Skript namens “ghost.sh” wird alle sechs Stunden neu heruntergeladen und bei jedem ComfyUI-Neustart erneut ausgeführt. Die Mining-Binärdateien werden an mehrere Orte kopiert und zusätzlich mit dem Linux-Befehl “chattr +i” gesperrt – selbst der Root-Nutzer kann sie nicht löschen.
Das Shell-Skript deaktiviert zunächst die Shell-History, beendet konkurrierende Miner und startet seinen eigenen Mining-Prozess. Über LD_PRELOAD-Hooks wird ein Watchdog-Prozess versteckt, der den Miner automatisch neustartet, sollte dieser terminiert werden.
Besonders aggressiv agiert die Malware gegen den Konkurrenten-Botnet “Hisana”: Sie überschreibt nicht einfach dessen Konfiguration, sondern leitet dessen Mining-Ertrag auf die eigene Wallet um und blockiert sogar dessen C2-Port, um eine Wiederherstellung zu verhindern.
Breiteres Angriffspotenzial
Die Analyse der Attacke-Infrastruktur deuten darauf hin, dass dies Teil einer größeren Kampagne ist. SSH-Logdateien zeigen Verbindungsversuche zu IP-Adressen, die mit Wurmkampagnen gegen exponierte Redis-Datenbanken verknüpft sind.
Censys betont, dass die Taktik opportunistisch ist: Mit über 1.000 öffentlich zugänglichen ComfyUI-Instanzen gibt es ausreichend Ziele für automatisierte Angriffe. Dass die Botnet-Aktivität im Jahresvergleich um 24-26 Prozent gestiegen ist, unterstreicht die wachsende Bedrohung – auch für deutsche Infrastrukturen.