Hackers used stolen AWS credentials to secretly mine cryptocurrency, detected by AWS GuardDuty due to unusual behavior. Los piratas informáticos utilizaron credenciales robadas de AWS para extraer criptomonedas en secreto, detectadas por AWS GuardDuty debido a un comportamiento inusual.

In November 2025, hackers used stolen AWS IAM credentials to secretly mine cryptocurrency on compromised cloud resources, deploying SBRMiner-MULTI malware on EC2 and ECS within minutes of gaining access. En noviembre de 2025, los piratas informáticos utilizaron credenciales robadas de AWS IAM para extraer criptomonedas en secreto en recursos de nube comprometidos, desplegando malware SBRMiner-MULTI en EC2 y ECS en cuestión de minutos después de obtener acceso. They avoided detection by testing with the RunInstances DryRun flag, disabled instance termination for persistence, created auto-scaling ECS clusters, and set up public Lambda functions for long-term access. Evitaron la detección probando con la bandera RunInstances DryRun, desactivaron la terminación de instancia para la persistencia, crearon clusters ECS de escala automática y establecieron funciones públicas de Lambda para acceso a largo plazo. AWS GuardDuty detected the activity via behavioral anomalies, prompting alerts to affected customers. AWS GuardDuty detectó la actividad a través de anomalías de comportamiento, provocando alertas a los clientes afectados. The breach, linked to poor credential management like long-lived keys and missing MFA, underscores the risks of weak cloud security practices. La violación, vinculada a una mala gestión de credenciales como claves de larga duración y MFA faltantes, subraya los riesgos de las prácticas de seguridad débiles de la nube.