Исследователи из компании Censys обнаружили в прошлом месяце масштабную кампанию, нацеленную на открытые в интернет экземпляры ComfyUI — популярной платформы для генерации изображений на базе Stable Diffusion. Более 1000 публично доступных серверов ComfyUI оказались под прицелом злоумышленников, которые превращали скомпрометированные машины в узлы ботнета для майнинга Monero и Conflux, а заодно использовали их как прокси-серверы через протокол Hysteria V2.
По данным отчёта, опубликованного в понедельник исследователем безопасности Марком Эллзи из Censys, атакующие применяют специально написанный Python-сканер, который непрерывно прочёсывает IP-диапазоны крупных облачных провайдеров в поисках незащищённых инсталляций ComfyUI. Главная цель — найти развёртывания без аутентификации, через которые можно добиться удалённого выполнения кода. Делается это через так называемые «кастомные ноды» — пользовательские модули, принимающие произвольный Python-код, — или путём автоматической установки вредоносного модуля через ComfyUI-Manager. Частично эта техника эксплуатации была задокументирована ещё в декабре 2024 года специалистами компании Snyk.
Среди целевых кастомных нодов, которые эксплуатируются в атаке, — модули
Механизмы закрепления в системе выглядят продуманно и агрессивно. Вредоносный шелл-скрипт скачивается каждые 6 часов, вредоносный рабочий процесс повторно запускается при каждом старте ComfyUI, очищается история промптов платформы и отключается история команд оболочки. Для маскировки сторожевого процесса используется перехват через LD_PRELOAD. Бинарные файлы майнера копируются в несколько резервных расположений, а чтобы даже root-пользователь не мог их удалить или изменить, применяется Linux-команда
Отдельно любопытна тактика борьбы с конкурентами. Атакующие целенаправленно охотятся за ботнетом-конкурентом по имени Hisana: перезаписывают его конфигурацию, чтобы перенаправить добытую им криптовалюту на свои кошельки, и занимают порт 10808 (командный порт Hisana) фиктивным Python-слушателем, чтобы предотвратить перезапуск конкурирующего ботнета.
Инфраструктура атакующих связана с IP-адресом 77.110.96[.]200, где размещён открытый каталог с инструментами — хостинг предоставлен Aeza Group, известным провайдером так называемого «пуленепробиваемого» хостинга. Ещё один адрес, 120.241.40[.]237, зафиксирован как цель SSH-подключения под root-учёткой со стороны атакующего; этот же IP связан с продолжающейся кампанией червя, распространяющегося через серверы Redis.
Эта история вписывается в тревожный тренд. По данным Spauhaus, активность ботнетов выросла на 26% в первом полугодии 2025 года (январь–июнь) и ещё на 24% — во втором (июль–декабрь). Параллельно зафиксировано сразу несколько других крупных ботнет-кампаний. Ботнет Zerobot, построенный на базе Mirai, эксплуатирует уязвимости внедрения команд в платформе автоматизации n8n (CVE-2025-68613) и маршрутизаторах Tenda AC1206 (CVE-2025-7544). Ботнет Kinsing бьёт по Apache ActiveMQ (CVE-2023-46604), М⃰base (CVE-2023-38646) и React Server Components (CVE-2025-55182, она же React2Shell), устанавливая майнеры и запуская DDoS-атаки.
Обнаруженный организацией QiAnXin XLab ботнет Netdragon эксплуатирует предполагаемую zero-day уязвимость в сетевых хранилищах fnOS. Его отличительная черта — подмена записей в файле hosts для перехвата обновлений NAS-устройств Feiniu, что блокирует установку патчей безопасности. Ботнет RondoDox перешёл к целевому подходу и расширил свой арсенал до 174 различных уязвимостей. Вариант вредоноса Condi для Linux (внутри бинарника есть отсылка к проекту QTXBOT) атакует через известные уязвимости ради DDoS. А операция Monaco использует брутфорс SSH для установки XMRig и сканирование через ZMap для червеобразного распространения.
Вся история с ComfyUI ещё раз напоминает простую вещь: если вы выставляете любой инструмент в открытый интернет без аутентификации, рано или поздно кто-то это найдёт. Автоматизированные сканеры работают круглосуточно, а облачные GPU-инстансы — лакомая цель для криптоджекинга. Причём атакующие уже не ограничиваются тихим майнингом: они выстраивают многоуровневую инфраструктуру с механизмами защиты от удаления, воюют с конкурентами и продают доступ к скомпрометированным нодам как прокси-сервисы.
Изображение носит иллюстративный характер
По данным отчёта, опубликованного в понедельник исследователем безопасности Марком Эллзи из Censys, атакующие применяют специально написанный Python-сканер, который непрерывно прочёсывает IP-диапазоны крупных облачных провайдеров в поисках незащищённых инсталляций ComfyUI. Главная цель — найти развёртывания без аутентификации, через которые можно добиться удалённого выполнения кода. Делается это через так называемые «кастомные ноды» — пользовательские модули, принимающие произвольный Python-код, — или путём автоматической установки вредоносного модуля через ComfyUI-Manager. Частично эта техника эксплуатации была задокументирована ещё в декабре 2024 года специалистами компании Snyk.
Среди целевых кастомных нодов, которые эксплуатируются в атаке, — модули
filliptm/ComfyUI_Fill-Nodes, seanlynch/srl-nodes и ruiqutech/ComfyUI-RuiquNodes. Кроме того, атакующий сам создал вредоносный пакет Vova75Rus/ComfyUI-Shell-Executor, единственная задача которого — загрузка шелл-скрипта ghost.sh для развёртывания следующей стадии атаки. Управление ботнетом осуществляется через панель на базе Flask. На скомпрометированные машины устанавливаются майнер XMRig для добычи Monero и lolMiner для Conflux. Механизмы закрепления в системе выглядят продуманно и агрессивно. Вредоносный шелл-скрипт скачивается каждые 6 часов, вредоносный рабочий процесс повторно запускается при каждом старте ComfyUI, очищается история промптов платформы и отключается история команд оболочки. Для маскировки сторожевого процесса используется перехват через LD_PRELOAD. Бинарные файлы майнера копируются в несколько резервных расположений, а чтобы даже root-пользователь не мог их удалить или изменить, применяется Linux-команда
chattr +i, блокирующая файлы от любых модификаций. Отдельно любопытна тактика борьбы с конкурентами. Атакующие целенаправленно охотятся за ботнетом-конкурентом по имени Hisana: перезаписывают его конфигурацию, чтобы перенаправить добытую им криптовалюту на свои кошельки, и занимают порт 10808 (командный порт Hisana) фиктивным Python-слушателем, чтобы предотвратить перезапуск конкурирующего ботнета.
Инфраструктура атакующих связана с IP-адресом 77.110.96[.]200, где размещён открытый каталог с инструментами — хостинг предоставлен Aeza Group, известным провайдером так называемого «пуленепробиваемого» хостинга. Ещё один адрес, 120.241.40[.]237, зафиксирован как цель SSH-подключения под root-учёткой со стороны атакующего; этот же IP связан с продолжающейся кампанией червя, распространяющегося через серверы Redis.
Эта история вписывается в тревожный тренд. По данным Spauhaus, активность ботнетов выросла на 26% в первом полугодии 2025 года (январь–июнь) и ещё на 24% — во втором (июль–декабрь). Параллельно зафиксировано сразу несколько других крупных ботнет-кампаний. Ботнет Zerobot, построенный на базе Mirai, эксплуатирует уязвимости внедрения команд в платформе автоматизации n8n (CVE-2025-68613) и маршрутизаторах Tenda AC1206 (CVE-2025-7544). Ботнет Kinsing бьёт по Apache ActiveMQ (CVE-2023-46604), М⃰base (CVE-2023-38646) и React Server Components (CVE-2025-55182, она же React2Shell), устанавливая майнеры и запуская DDoS-атаки.
Обнаруженный организацией QiAnXin XLab ботнет Netdragon эксплуатирует предполагаемую zero-day уязвимость в сетевых хранилищах fnOS. Его отличительная черта — подмена записей в файле hosts для перехвата обновлений NAS-устройств Feiniu, что блокирует установку патчей безопасности. Ботнет RondoDox перешёл к целевому подходу и расширил свой арсенал до 174 различных уязвимостей. Вариант вредоноса Condi для Linux (внутри бинарника есть отсылка к проекту QTXBOT) атакует через известные уязвимости ради DDoS. А операция Monaco использует брутфорс SSH для установки XMRig и сканирование через ZMap для червеобразного распространения.
Вся история с ComfyUI ещё раз напоминает простую вещь: если вы выставляете любой инструмент в открытый интернет без аутентификации, рано или поздно кто-то это найдёт. Автоматизированные сканеры работают круглосуточно, а облачные GPU-инстансы — лакомая цель для криптоджекинга. Причём атакующие уже не ограничиваются тихим майнингом: они выстраивают многоуровневую инфраструктуру с механизмами защиты от удаления, воюют с конкурентами и продают доступ к скомпрометированным нодам как прокси-сервисы.
