Los investigadores de ciberseguridad han revelado detalles de una nueva botnet que permite a los clientes alquilar acceso para llevar a cabo ataques de negación de servicio (DDO) introducidos contra objetivos de interés.
Según DarkTrace, ShadowV2 Botnet se dirigirá principalmente a los contenedores de Docker malinterpretados por los servidores de la nube de Amazon Web Services (AWS), convertirá los sistemas infectados en nodos de ataque e implementará malware basado en GO que se adoptará para botas DDoS más grandes. La compañía de ciberseguridad dijo que el malware dirigido a los honeypots se detectó el 24 de junio de 2025.
«En el corazón de esta campaña hay un marco de comando y control (C2) basado en Python alojado en el espacio de códigos de GitHub», dijo el investigador de seguridad Nathaniel Bill en un informe compartido con Hacker News.
«Lo que distingue a esta campaña es el refinamiento del kit de herramientas de ataque. Los actores de amenaza emplean métodos avanzados como HTTP/2 Rapid RESET, Bypass (UAM) del modo de ataque de CloudFlare e inundaciones HTTP a gran escala, lo que demuestra su capacidad para combinar tecnología de exporación y servicios distribuidos (DDO) específicos.
Vale la pena señalar esta actividad porque incorpora un módulo spreader basado en Python y viola principalmente Docker Daemons que se ejecuta en AWS EC2. Mientras tanto, el troyano de acceso remoto basado en GO (RAT) utiliza el protocolo HTTP para habilitar la ejecución de comandos y la comunicación con los operadores. ShadowV2 es descrito por el autor como una «plataforma de ataque avanzada».
Generalmente se sabe que las campañas dirigidas a las instancias de Docker expuestas aprovechan el acceso para soltar imágenes personalizadas o aprovechan las imágenes existentes de Docker Hub para implementar la carga útil requerida. Sin embargo, ShadowV2 adopta un enfoque ligeramente diferente al generar primero un contenedor de configuración genérico a partir de imágenes de Ubuntu e instalar varias herramientas dentro de él.
Luego se crea y se desarrolla una imagen del contenedor creado como contenedor en vivo. Darktrace dice que actualmente no está claro por qué el atacante eligió este método, pero DarkTrace puede estar tratando de evitar dejar artefactos forenses ejecutándolo directamente en la máquina de la víctima.
El contenedor allana el camino para ejecutar binarios ELF basados en GO, establece la comunicación con el servidor C2 («Shadow.aurozacloud (.) XYZ»), envía periódicamente mensajes del corazón a los operadores y vota para los puntos finales de los nuevos comandos.
También incorpora la capacidad de realizar un ataque de reinicio rápido/2 de reinicio rápido en las inundaciones HTTP tradicionales y los modos de ataque SidestePEp CloudFlare mediante el uso de la herramienta ChromedP para resolver los desafíos de JavaScript presentados al usuario y obtener las cookies de espacio libre utilizadas en solicitudes posteriores. Dicho esto, dado que estos desafíos están explícitamente diseñados para bloquear el tráfico de navegador sin cabeza, es poco probable que el bypass funcione.
Un análisis posterior de la infraestructura C2 reveló que el servidor estaba alojado detrás de Cloudflare, ocultando sus verdaderos orígenes. También utiliza Fastapi y Pydantic para admitir el panel de inicio de sesión y la interfaz del operador, lo que indica que la herramienta se está desarrollando con la idea de proporcionar el servicio «DDOS-for-Hire».
Los puntos finales de API permiten a los operadores agregar, actualizar o eliminar a los usuarios, configurar los tipos de ataques que los usuarios pueden realizar, proporcionar una lista de puntos finales que necesitan lanzar un ataque y excluir la lista de sitios de la orientación.
«Al aprovechar la contenedores, extensas API y usar una interfaz de usuario completa, esta campaña demuestra el desarrollo continuo del delito cibernético como servicio», dijo Bill. «La capacidad de proporcionar funcionalidad modular a través de ratas basadas en GO y exponer las API estructuradas para las interacciones del operador subraya cuán sofisticados son algunos actores de amenaza».
Esta divulgación se debe a que F5 Labs dijo que utilizó agentes de usuarios de navegador relacionado con Mozilla para detectar un sistema de orientación de Botnet Web expuestos a Internet por fallas de seguridad conocidas. Hasta ahora, se dice que la botnet ha usado 11,690 cadenas de agentes de usuario de Mozilla para su escaneo.
Cloudflare también trae al punto de que, según una publicación compartida en X hoy, bloqueó de forma autónoma los ataques DDoS de medición de hipervolumas que alcanzaron su punto máximo en 22.2 terabits (TBP) y 10.600 millones de paquetes (BPP) (BPP), respectivamente. El ataque DDoS más grande jamás registrado duró solo 40 segundos.
A principios de este mes, la compañía de infraestructura web reveló que había mitigado un ataque de denegación de servicio distribuido por volumen récord (DDoS) que alcanzó su punto máximo en 11.5 terabits por segundo (TBP) y duró solo unos 35 segundos.
La compañía de seguridad china Qianxin XLAB dijo en un informe técnico la semana pasada que una botnet conocida como Aisuru estaba a cargo del ataque. Es una variante de Airashi, infectando a casi 300,000 dispositivos, la mayoría de los cuales son enrutadores y cámaras de seguridad. Los botnets por empresa son administrados por tres individuos (Snow, Tom y Forky) que se encargan del desarrollo, la integración de vulnerabilidad y las ventas.
Las iteraciones recientes del malware incluyen el algoritmo RC4 modificado para descifrar las cadenas de código fuente, los pasos para realizar pruebas de velocidad para encontrar el servidor de velocidad más baja y los pasos para determinar la existencia de utilidades de red como TCPDUMP, Wireshark y Wireshark, así como los pasos para determinar la existencia de los marcos de virtualización como VMware, QEMU, virtual y KVM.
«Aisuru Botnet ha lanzado un ataque en múltiples industrias de todo el mundo», señaló XLAB. «Sus principales objetivos están ubicados en regiones como China, Estados Unidos, Alemania, el Reino Unido, Hong Kong y más. La nueva muestra respalda no solo los ataques DDoS sino también las funciones de poder.
Source link
