Lebih dari 1.000 Instansi ComfyUI Terbuka Diserang dalam Kampanye Botnet Cryptomining

Lebih dari 1.000 instansi ComfyUI yang terbuka di internet menjadi sasaran dalam kampanye botnet cryptomining aktif yang memanfaatkan kerentanan eksekusi kode tanpa autentikasi. Serangan ini memungkinkan para pelaku untuk mengendalikan instansi tersebut dan menjalankan operasi penambangan cryptocurrency sekaligus memperluas jaringan botnet mereka.

Metode Serangan dan Eksploitasi ComfyUI

Menurut laporan dari peneliti keamanan Censys, Mark Ellzey, sebuah scanner Python yang dirancang khusus terus-menerus memindai rentang IP cloud besar untuk menemukan instansi ComfyUI yang rentan. Jika tidak ada node berbahaya yang sudah terpasang, alat ini secara otomatis menginstal node jahat melalui ComfyUI-Manager.

"Scanner ini memanfaatkan konfigurasi yang salah dari ComfyUI yang memungkinkan eksekusi kode jarak jauh tanpa autentikasi melalui custom nodes," jelas Ellzey.

Modus operandi utama adalah memindai instansi yang terbuka dan menjalankan kode Python berbahaya melalui node yang dapat menerima kode mentah tanpa validasi. Beberapa keluarga node yang dicari oleh penyerang antara lain:

• Vova75Rus/ComfyUI-Shell-Executor
• filliptm/ComfyUI_Fill-Nodes
• seanlynch/srl-nodes
• ruiqutech/ComfyUI-RuiquNodes

Jika node yang rentan tidak ditemukan, scanner akan mengecek apakah ComfyUI-Manager terpasang. Bila ada, ia akan memasang paket node yang rentan dan mencoba eksploitasi kembali.

Operasi Penambangan dan Botnet

Setelah berhasil mengeksploitasi, host yang terinfeksi akan dipakai untuk menambang cryptocurrency Monero menggunakan XMRig dan Conflux menggunakan lolMiner. Selain itu, host juga disusupi botnet Hysteria V2 yang dikendalikan melalui dashboard command-and-control berbasis Flask.

Script shell bernama ghost.sh yang diunduh secara berkala setiap enam jam berfungsi untuk mempertahankan aktivitas penambangan, menghapus jejak eksploitasi, dan mematikan miner pesaing. Metode persistensi malware ini meliputi:

1. Menyalin program miner ke banyak lokasi cadangan agar tetap berjalan walau direktori utama dihapus.
2. Mengunci file miner menggunakan perintah chattr +i untuk mencegah penghapusan atau modifikasi, bahkan oleh root.
3. Menyembunyikan proses "watchdog" yang mengawasi dan menghidupkan kembali miner bila terhenti.

Menariknya, ada kode yang menargetkan botnet pesaing bernama "Hisana" dengan cara mengalihkan hasil tambangnya ke dompet milik pelaku dan menghalangi Hisana mengakses port C2-nya.

Risiko dan Implikasi Serangan

Data dari platform manajemen permukaan serangan menunjukkan ada lebih dari 1.000 instansi ComfyUI yang dapat diakses publik. Meski jumlah ini tidak terlalu besar, cukup untuk pelaku memanfaatkan kampanye oportunistik demi keuntungan finansial.

Selain itu, pelaku juga menggunakan panel kontrol untuk mengirim instruksi dan memasang payload tambahan, termasuk shell script yang menginstal botnet proxy Hysteria V2. Kaitan dengan serangan lain juga ditemukan, misalnya percobaan login SSH root yang berhubungan dengan kampanye worm yang menargetkan server Redis.

Serangan Botnet yang Semakin Marak

Kampanye ini muncul bersamaan dengan banyak serangan botnet lain yang memanfaatkan kerentanan kritis di berbagai perangkat dan aplikasi, seperti:

• Serangan injeksi perintah di n8n dan router Tenda AC1206 yang menambah perangkat ke botnet Mirai bernama Zerobot.
• Eksploitasi kerentanan di Apache ActiveMQ, Metabase, dan React Server Components untuk menyebarkan malware Kinsing.
• Serangan zero-day pada fnOS NAS yang menyisipkan malware DDoS NetDragon.
• Perluasan eksploitasi RondoDox dengan 174 kerentanan berbeda untuk infeksi lebih luas.
• Serangan brute-force SSH untuk memasang miner XMRig dalam operasi cryptojacking Monaco.

Menurut data dari Pulsedive, aktivitas botnet meningkat drastis sepanjang 2025 dengan kenaikan 24-26% di setiap semester. Faktor utama adalah kemudahan akses terhadap kode sumber botnet seperti Mirai yang memungkinkan varian baru muncul secara masif.

Analisis Redaksi

Menurut pandangan redaksi, serangan yang menargetkan instansi ComfyUI ini menunjukkan tren baru dalam eksploitasi platform open source yang kurang terlindungi. Misconfiguration dan kurangnya autentikasi pada layanan modern bisa menjadi pintu masuk mudah bagi pelaku kejahatan siber untuk mendapatkan keuntungan finansial melalui cryptomining.

Selain dampak langsung dari penambangan ilegal yang membebani sumber daya server dan jaringan, keberadaan botnet proxy seperti Hysteria V2 juga membuka risiko penyalahgunaan jaringan untuk serangan DDoS dan aktivitas kriminal lainnya. Hal ini menggarisbawahi pentingnya pengamanan konfigurasi aplikasi cloud, terutama yang melibatkan eksekusi kode dinamis.

Kami mendorong para pengembang dan administrator sistem untuk segera memeriksa dan memperbaiki konfigurasi ComfyUI mereka, serta menggunakan firewall dan autentikasi yang kuat untuk mencegah akses tidak sah. Memantau aktivitas jaringan dan menggunakan solusi keamanan endpoint dapat membantu mendeteksi dan menghentikan serangan lebih awal.

Untuk informasi lebih rinci dan pembaruan terbaru mengenai ancaman keamanan ini, kunjungi laporan lengkap di The Hacker News dan situs berita keamanan terkemuka lainnya.