Identificada novamente em março de 2025, esta campanha revela a evolução contínua deste malware, já conhecido no mundo Windows desde 2020 e posteriormente adaptado a sistemas Linux no final do mesmo ano. O Prometei destaca-se por ser uma ameaça dupla, capaz de atacar infraestruturas mistas (Linux e Windows), explorando vulnerabilidades conhecidas como o EternalBlue (infame no ataque WannaCry) e falhas no protocolo SMB, além de recorrer a ataques de força bruta para roubo de credenciais.

O objetivo desta operação parece ser puramente financeiro, sem indícios de envolvimento de grupos patrocinados por Estados. Os cibercriminosos por trás da botnet usam os recursos das máquinas invadidas para minerar criptomoeda Monero e recolher credenciais valiosas, que podem depois ser vendidas em mercados clandestinos.

Entre as novidades desta vaga de ataques estão técnicas avançadas de ocultação: o malware usa um algoritmo de geração de domínios para manter ativa a infraestrutura de comando e controlo (C&C), além de ser capaz de se autoatualizar, dificultando seriamente a sua deteção e remoção por soluções tradicionais de segurança.

O mecanismo técnico de infeção também foi melhorado. O Prometei distribui-se por meio de pedidos HTTP GET disfarçados e inclui ficheiros executáveis ELF de 64-bit comprimidos com UPX, mas com modificações que impedem a decompressão por ferramentas normais. Esta versão traz ainda uma configuração personalizada em JSON incorporada no próprio binário, permitindo maior controlo e comunicação entre os dispositivos infetados.

Após a infeção, o malware recolhe dados detalhados do sistema – como processador, placa-mãe, sistema operativo, tempo de atividade e kernel – de forma a otimizar o desempenho das atividades de mineração e preparar eventuais movimentos laterais na rede.

Este ressurgimento do Prometei confirma que as botnets de criptomineração continuam a ser uma ameaça relevante para empresas em todo o mundo, exigindo vigilância apertada e atualizações constantes das defesas.