En los últimos años, diversas campañas maliciosas han empleado las técnicas, tácticas y procedimientos (TTPs) del grupo TeamTNT, conocido por atacar Docker y Kubernetes con malware que se comporta como una lombriz para minar Monero y, en algunos casos, robar credenciales de AWS. Estas campañas destacan por sus técnicas de post-explotación y anti-forenses en Linux, consideradas por algunos como propias de un APT.

Con el tiempo, otros actores, como el grupo de cryptojacking Watchdog y bandas de ransomware como Conti y BlackMatter, han reutilizado los scripts de TeamTNT en sus propias campañas. Al haber tenido experiencia de primera mano con la campaña apodada Kiss a dog del grupo Watchdog, esta plática busca compartir un análisis detallado de las TTPs utilizadas en ella, que incluyen escape de contenedores, uso de rootkits, evasión de detección y movimiento lateral mediante explotación de vulnerabilidades y otro servicios.

Adicionalmente, daremos un vistazo a cómo es que en la actualidad nuevos grupos están aprovechando las mismas técnicas avanzadas para explotar entornos en la nube y contenedores.