Les pirates ont utilisé les identifiants AWS volés pour secrètement la crypto-monnaie, détectée par AWS GuardDuty en raison de comportement inhabituel. Hackers used stolen AWS credentials to secretly mine cryptocurrency, detected by AWS GuardDuty due to unusual behavior.

En novembre 2025, les pirates ont utilisé les identifiants AWS IAM volés pour extraire secrètement la cryptomonnaie sur les ressources en nuage compromises, déployant des logiciels malveillants SBRMiner-MULTI sur EC2 et ECS dans les minutes qui suivent l'accès. In November 2025, hackers used stolen AWS IAM credentials to secretly mine cryptocurrency on compromised cloud resources, deploying SBRMiner-MULTI malware on EC2 and ECS within minutes of gaining access. Ils ont évité la détection en testant avec le drapeau RunInstances DryRun, la terminaison d'instance désactivée pour la persistance, créé des clusters ECS auto-calcants et mis en place des fonctions Lambda publiques pour l'accès à long terme. They avoided detection by testing with the RunInstances DryRun flag, disabled instance termination for persistence, created auto-scaling ECS clusters, and set up public Lambda functions for long-term access. AWS GuardDuty a détecté l'activité par des anomalies comportementales, provoquant des alertes aux clients touchés. AWS GuardDuty detected the activity via behavioral anomalies, prompting alerts to affected customers. Cette brèche, liée à une mauvaise gestion des titres de compétence, comme les clés de longue durée et les MFA manquantes, souligne les risques de pratiques de sécurité en nuage faibles. The breach, linked to poor credential management like long-lived keys and missing MFA, underscores the risks of weak cloud security practices.