Die angelegte Anwendung enthielt eine Reihe von Shell-Befehlen: Sie luden eine Chaos-Agent-Binärdatei von einem durch die Angreifer kontrollierten Server („pan.tenire[.]com") herunter, vergaben mit „chmod 777" weitreichende Lese-, Schreib- und Ausführungsrechte für alle Nutzer, führten die Datei aus und löschten sie anschließend von der Festplatte, um Spuren zu verwischen.
Bemerkenswert ist die Vorgeschichte der genutzten Domain: Sie kam zuvor bei einer Phishing-Kampagne der chinesischen Cybercrime-Gruppe Silver Fox zum Einsatz, mit der Köderdokumente und die Schadsoftware ValleyRAT verbreitet wurden. Seqrite Labs gab dieser Kampagne im Oktober 2025 den Namen Operation Silk Lure.
Bei der 64-Bit-ELF-Binärdatei handelt es sich um eine überarbeitete und aktualisierte Version von Chaos. Mehrere Funktionen wurden umgebaut, der Großteil des Funktionskerns blieb jedoch erhalten. Eine der wichtigsten Änderungen betrifft den Wegfall jener Funktionen, die eine Verbreitung über SSH sowie das Ausnutzen von Router-Schwachstellen ermöglichten.
An ihre Stelle tritt eine neue SOCKS-Proxy-Funktion. Über sie lässt sich das kompromittierte System dazu nutzen, fremden Datenverkehr weiterzuleiten. Auf diese Weise verschleiern die Angreifer den tatsächlichen Ursprung schädlicher Aktivitäten, was deren Erkennung und Blockieren erschwert.
Darüber hinaus seien laut Darktrace mehrere Funktionen verändert worden, die zuvor als von Kaiji übernommen galten. Das deute darauf hin, dass die Täter die Malware entweder neu geschrieben oder umfassend überarbeitet haben. Chaos gilt als Weiterentwicklung der DDoS-Schadsoftware Kaiji, die es auf falsch konfigurierte Docker-Instanzen abgesehen hatte. Wer hinter Chaos steht, ist unklar; chinesische Schriftzeichen und der Einsatz von Infrastruktur in China deuten nach Einschätzung der Forscher auf einen Akteur chinesischer Herkunft hin.
Die neue Proxy-Funktion werten die Forscher als Hinweis darauf, dass die Hintermänner das Botnetz über Krypto-Mining und DDoS-for-Hire hinaus weiter monetarisieren und mit Wettbewerbern im Cybercrime-Markt mithalten wollen, indem sie ein breiteres Spektrum illegaler Dienste anbieten.
„Auch wenn Chaos keine neue Malware ist, zeigt seine fortlaufende Weiterentwicklung, mit welchem Einsatz Cyberkriminelle ihre Botnetze ausbauen und ihre Fähigkeiten erweitern", schloss Darktrace. Die jüngste Entwicklung bei Botnetzen wie AISURU und Chaos hin zu Proxy-Diensten als Kernfunktion zeige, dass Denial-of-Service nicht länger das einzige Risiko sei, das von solchen Botnetzen für Organisationen und ihre Sicherheitsteams ausgehe.
