Botnet de criptominería ataca ComfyUI: cómo actúa la campaña y cómo proteger tus instancias

Una campaña activa de botnet de criptominería ComfyUI ha comprometido más de un millar de instancias expuestas en internet de esta popular plataforma de stable diffusion, enlistándolas en una red zombi dedicada a la minería de criptomonedas y al tráfico proxy malicioso. Según nuestros análisis de ciberinteligencia, un escáner Python construido ex profeso barre de forma continua rangos de IP de grandes proveedores en la nube en busca de objetivos vulnerables.

¿Qué es botnet de criptominería ComfyUI y por qué es relevante?

Puntos clave

• La campaña explota instancias de ComfyUI expuestas sin autenticación o con credenciales por defecto.
• Utiliza un escáner Python personalizado que busca puertos específicos en infraestructuras cloud.
• El ataque instala nodos maliciosos automáticamente a través de la extensión ComfyUI-Manager.
• Los sistemas comprometidos se convierten en parte de una botnet para minería de criptomonedas y tráfico proxy.
• Se recomienda urgentemente revisar la exposición a internet y aplicar las configuraciones de seguridad adecuadas.

Qué es ComfyUI y por qué se ha convertido en un objetivo crítico

ComfyUI es una interfaz gráfica de usuario y una API popular para ejecutar flujos de trabajo de stable diffusion, ampliamente utilizada por investigadores, artistas y desarrolladores que trabajan con modelos de inteligencia artificial generativa. Su arquitectura, que a menudo se despliega en servidores con acceso a potentes GPUs para acelerar la inferencia, la convierte en un blanco atractivo para actores maliciosos. Estas instancias, cuando están expuestas en internet sin las debidas medidas de autenticación, ofrecen un recurso computacional valioso que puede ser desviado para fines ilícitos, como la minería de criptomonedas.

Detalles técnicos de la campaña de botnet

Nuestro equipo ha analizado los indicadores de compromiso (IoC) y el modus operandi de esta ofensiva. El ataque se inicia con un escáner escrito en Python que rastrea de forma autónoma bloques de direcciones IP pertenecientes a proveedores de nube pública como AWS, Google Cloud y Azure. El objetivo es identificar servicios ComfyUI accesibles, típicamente a través del puerto 8188. Cuando encuentra un objetivo viable, el script intenta aprovechar la falta de autenticación o credenciales débiles para tomar el control del nodo.

Cómo actúa el escáner malicioso para desplegar la botnet

El componente central de esta campaña es un escáner ligero pero persistente, diseñado para operar con un perfil bajo y evadir las detecciones básicas de seguridad. Una vez que identifica una instancia ComfyUI vulnerable, procede a ejecutar comandos remotos. La puerta de entrada principal es la funcionalidad de instalación de nodos personalizados proporcionada por ComfyUI-Manager, una herramienta de gestión de extensiones muy común en estos entornos. A través de ella, el atacante despliega un paquete malicioso que configura el sistema como un nodo de la botnet.

El papel crucial de ComfyUI-Manager en la infección

ComfyUI-Manager, aunque es una extensión legítima y útil, se convierte en el vector de ataque al permitir la instalación remota de nodos desde repositorios externos. Los actores de la amenaza han subvertido esta característica para inyectar su carga maliciosa. El paquete instalado modifica la configuración del sistema, descarga un minero de criptomonedas (posiblemente basado en XMRig) y establece un servicio proxy que permite al atacante redirigir tráfico a través de la máquina víctima, enmascarando así su actividad.

Impacto y riesgos de esta botnet de criptominería

El impacto directo para las organizaciones y usuarios afectados es múltiple. En primer lugar, sufren un consumo masivo de recursos de CPU y GPU, lo que infla los costes de la nube y degrada el rendimiento de los flujos de trabajo legítimos de IA. En segundo lugar, al convertirse en parte de una red proxy, los sistemas pueden ser utilizados para lanzar ataques secundarios, fraudes de publicidad o acceder a recursos restringidos, implicando potencialmente a la víctima en actividades delictivas. Finalmente, la brecha de seguridad abre la puerta a una posible escalada de privilegios y a la exfiltración de datos sensibles, como modelos de IA propietarios o conjuntos de datos.

Recomendaciones de seguridad para usuarios de ComfyUI

Para mitigar este riesgo y proteger las instancias de ComfyUI, es fundamental seguir una serie de buenas prácticas. Nunca expongas el puerto 8188 (o el que uses) directamente a internet sin un mecanismo de autenticación robusto. Implementa un firewall que restrinja el acceso solo a direcciones IP de confianza. Deshabilita la instalación remota de nodos en ComfyUI-Manager o configúrala para que solo permita repositorios oficiales verificados. Cambia inmediatamente las credenciales por defecto y emplea contraseñas fuertes. Además, monitoriza el consumo anómalo de recursos en tus servidores, ya que un pico inusual en el uso de GPU puede ser un indicador temprano de compromiso.

Conclusión: una amenaza evitable con vigilancia proactiva

Esta campaña de botnet de criptominería ComfyUI subraya un problema recurrente en el ecosistema de la IA: la urgencia por desplegar herramientas potentes a menudo deja de lado las consideraciones básicas de seguridad. Aunque la amenaza es sofisticada en su automatización, se basa en explotar configuraciones descuidadas que son totalmente corregibles. Como analistas, observamos que los actores maliciosos están afinando sus tácticas para aprovechar los recursos especializados de la nube. La vigilancia continua, el parcheo rápido y una postura de seguridad por defecto son las mejores defensas contra este tipo de ofensivas que buscan convertir la innovación en un recurso explotable.

---