针对在 Linux作系统上运行的物联网设备的僵尸网络通过暴力破解凭据和下载加密挖矿软件来工作。

另请参阅：破解密码：保护机器身份

Darktrace 的研究人员将僵尸网络命名为“PumaBot”，因为它的恶意软件会检查字符串“Pumatronix”。这是巴西一家监控和交通摄像头系统制造商的名字，“暗示潜在的 IoT 目标或试图规避特定设备。该机器人还会对环境进行指纹识别，以避免出现蜜罐或受限 shell。

与僵尸网络不同，该恶意软件不会扫描互联网以查找机会主义目标。相反，它连接到命令和控制服务器，该服务器提供可能具有开放 SSH 端口的设备的 IP 地址列表。在进行 Darktrace 分析时，与服务器关联的域未解析为 Internet 地址。 ssh.ddos-cc.org

一个关键的恶意用途是劫持受感染的设备进行加密货币挖掘。通过在受感染的系统上运行加密挖矿软件，僵尸网络会耗尽设备的处理能力和能源资源。分析师认为，PumaBot 可能成为在智慧城市或工业监控网络中建立隐蔽、长期立足点的更大规模活动的一部分。

PumaBot 主要通过编写自定义 ，一个封装了有关系统服务和侦听套接字信息的配置文件，专注于隐蔽渗透和长期控制。它还将自己的 SSH 密钥添加到文件中，确保即使有人删除了流氓文件也能保持持久性。systemmd service unitauthorized_keyssystemmd service unit

该恶意软件将自身安装在隐藏目录中，并创建欺骗性的 systemd 服务，例如 和 。/lib/redisredis.servicemysqI.service

该恶意软件使用自定义 HTTP 标头与其 C2 通信，包括不常见的 X-API-KEY、.它发回系统指纹，包括架构、内核版本和用户凭证。这些数据可帮助运营商维护受感染基础设施的实时地图，并在需要时部署定制的有效负载。jieruidashabi

作为更广泛的 PumaBot 活动的一部分，Darktrace 还观察到了相关的二进制文件，包括一个名为持久性后门和一个名为 的组件，该组件通过 MD5 哈希检查执行 SSH 暴力破解和自我更新。ddaemonnetworkxm

另一个关键部分是 bash 脚本，它使用恶意文件修改 Linux 可插拔身份验证模块身份验证堆栈，以在本地和远程登录中收集凭据。installx.shpam_unix.so

为了泄露数据，仅命名为“1”的文件观察器二进制文件会监视存储在隐藏文件中的被盗凭据，然后将它们发送到远程服务器。此数据包括 SSH 凭据、系统 IP 地址和端口扫描结果。con.txt

研究人员说：“虽然它似乎不像传统蠕虫那样自动传播，但它确实通过暴力攻击目标保持了类似蠕虫的行为，这表明这是一个专注于设备入侵和长期访问的半自动化僵尸网络活动。