Los actores de amenazas continúan explotando una vulnerabilidad crítica de Langflow como parte de nuevos ataques diseñados para entregar un minero de criptomonedas Monero.
Se ha descubierto que la actividad constituye un arma CVE-2026-33017 (Puntuación CVSS: 9,3), una vulnerabilidad de ejecución remota de código (RCE) no autenticada en Langflow, que indica que los actores de amenazas están escaneando y apuntando a puntos finales de aplicaciones de inteligencia artificial (IA) expuestos para obtener acceso inicial a las redes empresariales. El ataque se observó durante un período de 19 días entre el 27 de marzo y el 15 de abril de 2026.
“En esta campaña, una sola línea de código Python evaluada dentro de un punto final API de Langflow no autenticado extrae un script de shell, recupera un binario minero y lo lanza separado”, dijeron los investigadores de Trend Micro Simon Dulude y John Zhang en un informe técnico publicado la semana pasada.
En un nivel alto, el malware está diseñado para terminar los procesos de minería de criptomonedas de la competencia asociados con Kinsing, WatchDog, Rocke y Outlaw, eliminar la billetera rival y el material de claves, deshabilitar los controles de seguridad a nivel de host, establecer persistencia basada en cron, dirigirse a un servidor externo (“83.142.209(.)214:80) e implementar un minero personalizado. También puede propagarse a otros sistemas a través de claves SSH reutilizadas, convirtiendo efectivamente una instancia expuesta de Langflow en una ruta para un compromiso más amplio.
Esto implica explotar la falla de Langflow para ejecutar un script Python proporcionado por el atacante, que, a su vez, está configurado para iniciar un script de shell alojado de forma remota que actúa como un cuentagotas cuya responsabilidad principal es verificar si un binario llamado “lambsys” ya se está ejecutando en el host.
Posteriormente, descarga el binario en la máquina usando curl o wget, lo inicia como un proceso separado y se propaga a todos los hosts accesibles por SSH en los que la víctima pueda autenticarse. El binario, un ejecutable ELF escrito en Go, también está diseñado para deshabilitar AppArmor, el cortafuegos sin complicaciones de Ubuntu, iptables, SELinux, el guardián NMI del kernel y el agente Aliyun de Alibaba Cloud.
Además, el malware elimina los registros del sistema para ocultar las pistas y elimina el atributo inmutable de archivos como “~/.ssh/”, “~/.ssh/authorized_keys”, “/etc/crontab” y “/etc/ld.so.preload”, “/tmp/”, “/var/tmp/” y “/var/spool/cron” para realizar sus modificaciones, y luego vuelve a aplicar el atributo inmutable a “/tmp/” y “/var/tmp/.”

Se sabe que las operaciones ilícitas de minería de criptomonedas establecen el atributo “chattr +i” en estos archivos para garantizar que ningún usuario, incluido el superusuario, pueda modificarlos, cambiarles el nombre ni eliminarlos. El comportamiento del binario refleja que el actor de amenazas detrás de la operación es consciente de los métodos de persistencia adoptados por grupos rivales de criptojacking.
En la etapa final, el binario contacta al mismo servidor para buscar un archivo TAR y extrae de él un minero XMRig personalizado. Una vez que el minero comienza la ejecución, el archivo comprimido se borra del sistema de archivos. Además, envía una solicitud a ipinfo(.)io para obtener la dirección IP pública y la ubicación del host, lo que permite a los actores de amenazas tomar decisiones operativas sobre la marcha.
La primera es la selección del grupo. Dado que los grupos de minería tienden a estar distribuidos geográficamente, conectar al minero a un grupo cercano a la víctima puede minimizar la latencia y maximizar la tasa de hash. La segunda razón para obtener esta información es la geocerca, ya que brinda a los actores de amenazas una forma de excluir a las víctimas en ciertas regiones.
“Lambsys no ejecuta su lógica de ataque como funciona Go”, explicaron los investigadores. “En lugar de eso, bifurca una cascada de subprocesos sh -c de corta duración, cada uno de los cuales ejecuta un comando de shell (un pkill, un chattr, un sysctl). El diseño intercambia sigilo por confiabilidad. Si uno de los 51 comandos pkill falla, el fallo se limita a ese subproceso y los otros 50 continúan”.
Trend Micro dijo que un artefacto perteneciente a la iteración anterior del mismo binario se compiló en mayo de 2024, lo que indica que los actores de amenazas detrás de la campaña probablemente han estado iterando en la familia durante más de dos años, mientras tomaban medidas para evadir la detección por parte de las herramientas antivirus.
Durante el año pasado, se explotaron activamente una serie de fallas de seguridad en Langflow. En junio de 2025, se aprovechó otra vulnerabilidad crítica (CVE-2025-3248, puntuación CVSS: 9,8) para distribuir el malware de botnet Flodrix.
“Esta campaña de minería de criptomonedas muestra cómo los terminales de aplicaciones de IA expuestos se están convirtiendo en otra ruta hacia los entornos empresariales”, afirmó Trend Micro. “La carga útil puede resultar familiar, pero el vector de entrega no. Una vulnerabilidad de Langflow ofrece a los operadores de criptomineros básicos una nueva puerta de entrada a los sistemas que ejecutan infraestructura de aplicaciones de IA”.