Hadooken hospeda links de criptominer e ransomware
Um dos recursos armazenados no Hadooken é um sistema de mineração de criptomoedas distribuído em três áreas diferentes do sistema: /usr/bin/crondr, /usr/bin/bprofr de novo /mnt/-java. Os criptomineradores são uma forma comum de monetizar servidores comprometidos.
A segunda parcela do Hadooken é um cliente bot DDoS conhecido como Tsunami, Amnesia ou Muhstik. Esse malware existe desde pelo menos 2020 em diferentes formas, mas os pesquisadores do Aqua nunca viram invasores usando-o nesta campanha depois de seu lançamento. Eles acham que isso pode fazer parte da última fase do ataque.
Um dos endereços IP dos quais o Hadooken foi baixado foi associado no passado a campanhas da TeamTNT e Gang8220, mas esse link não é forte o suficiente para apoiar qualquer atribuição a esta nova campanha. Diferentes grupos de hackers podem usar as mesmas empresas de hospedagem em momentos diferentes.
