Resumo
Foi observada uma campanha em curso que visa clientes da Amazon Web Services (AWS) usando credenciais do Identity and Access Management (IAM) comprometidas para ativar mineração de criptomoedas em infraestrutura na nuvem. A atividade foi detectada inicialmente pelo serviço GuardDuty da Amazon em 2 de novembro de 2025.
O que se sabe
O relatório disponível indica que invasores obtiveram credenciais IAM e as utilizaram para provisionar ou utilizar recursos na AWS com o objetivo de executar operações de mineração (cryptomining). A detecção foi feita por sistemas automatizados de monitoramento da própria Amazon (GuardDuty), com registro inicial em 02/11/2025. O material menciona ainda o emprego de técnicas de persistência descritas como "never-before-seen" (técnicas inéditas), sem que o detalhamento completo dessas técnicas seja publicado na cobertura disponível.
Evidências e lacunas
A cobertura pública confirma três pontos-chave: comprometimento de credenciais IAM, uso para mineração de criptomoedas e detecção por GuardDuty em 2 de novembro de 2025. Não há na matéria consultada números públicos sobre quantidade de contas afetadas, custo estimado, regiões AWS impactadas ou detalhes técnicos pormenorizados das técnicas de persistência. Essas ausências exigem cautela na avaliação do impacto.
Riscos operacionais
- Credenciais IAM comprometidas podem permitir criação de instâncias, anexação de policies e uso indevido de recursos faturáveis.
- Mineração em larga escala na nuvem pode gerar custos significativos e degradar desempenho de serviços legítimos.
- Técnicas de persistência inéditas, mencionadas na cobertura, aumentam a complexidade de detecção e erradicação.
Recomendações práticas
A partir das informações públicas, medidas imediatas e prudentes incluem revisão e rotação de credenciais IAM, aplicação de princípios de menor privilégio, revisão de roles e policies, ativação e análise de logs (CloudTrail, CloudWatch) para identificação de ações suspeitas, e resposta a incidentes com foco em identificar recursos recém-criados ou alterações de configuração correlacionadas com sinais de mineração. Como a detecção inicial foi realizada por GuardDuty, recomenda-se validar e aplicar as regras/alertas disponíveis nessa solução.
Observação sobre informações faltantes
A matéria não fornece métricas sobre o alcance da campanha nem descreve as técnicas de persistência. Por isso, organizações devem tratar o caso como um alerta de risco direcionado à proteção de credenciais e revisão de controles de identidade na nuvem, até que fornecedores e equipes de investigação publiquem indicadores de comprometimento (IoCs) e procedimentos de remoção detalhados.
Conclusão
A campanha reforça o vetor recorrente de risco na nuvem: comprometimento de credenciais IAM com consequente abuso de recursos. GuardDuty identificou a atividade em 02/11/2025, e a cobertura pública aponta uso de técnicas de persistência inéditas. Equipes de segurança em ambientes AWS devem priorizar auditoria de credenciais, policies e detecção de anomalias de uso de recursos para mitigar potenciales custos e impacto operacional.