Cybersecurity-onderzoekers hebben details bekendgemaakt van een nieuw botnet dat klanten toegang kunnen huren om gedistribueerde Denial-of-Service (DDOS) -aanvallen op te doen tegen belangstelling voor doelen.
De Schaduwv2 Botnet, volgens DarkTrace, richt zich voornamelijk op verkeerd geconfigureerde Docker-containers op Amazon Web Services (AWS) cloudservers om een GO-gebaseerde malware te implementeren die geïnfecteerde systemen in aanvalsknooppunten verandert en deze in een groter DDOS-botnet samen te stellen. Het Cybersecurity Company zei dat het de malware heeft ontdekt die zich op zijn honeypots had gericht op 24 juni 2025.
“In het centrum van deze campagne staat een Python-gebaseerd commando-and-Control (C2) framework dat wordt georganiseerd op GitHub-codespaces,” zei beveiligingsonderzoeker Nathaniel Bill in een rapport dat werd gedeeld met The Hacker News.
“Wat deze campagne onderscheidt, is de verfijning van zijn aanvalstoolkit. De dreigingsactoren gebruiken geavanceerde methoden zoals HTTP/2 Rapid Reset, een CloudFlare Under Attack-modus (UAM) bypass en grootschalige HTTP-overstromingen, die een mogelijkheid aantonen om gedistribueerde ontkennings-of-service (DDOS) technieken te beperken.”
De activiteit is opmerkelijk voor het opnemen van een op Python gebaseerde spreidmodule om Docker Daemons te overtreden, voornamelijk die op AWS EC2, terwijl de GO-gebaseerde externe toegang Trojan (RAT) opdrachtuitvoering en communicatie met zijn operatoren mogelijk maakt met behulp van het HTTP-protocol. ShadowV2 is door de auteurs beschreven als een ‘geavanceerd aanvalsplatform’.
Het is bekend dat campagnes gericht op blootgestelde Docker -instanties doorgaans gebruikmaken van de toegang om een aangepaste afbeelding te laten vallen of een bestaande afbeelding op Docker Hub te gebruiken om de nodige payloads te implementeren. ShadowV2 hanteert echter een iets andere aanpak door eerst een generieke setup -container uit een Ubuntu -afbeelding te paaien en verschillende tools erin te installeren.
Een afbeelding van de gemaakte container wordt vervolgens gebouwd en geïmplementeerd als een live container. Het is momenteel niet bekend waarom deze methode door de aanvallers is gekozen, hoewel DarkTrace zei dat het mogelijk is dat ze proberen te voorkomen dat ze forensische artefacten achterlaten door het direct op de slachtoffermachine uit te voeren.
De container maakt de weg vrij voor de uitvoering van een op Go gebaseerde Elf Binairy, die communicatie met een C2-server (“Shadow.aurozacloud (.) XYZ”) vaststelt om periodiek een hartslagbericht naar de operators te sturen en een eindpunt op de server te peilen voor nieuwe opdrachten.
Het bevat ook functies om HTTP/2 snelle resetaanvallen uit te voeren in tegenstelling tot een traditionele HTTP -overstroming en Sidestep Cloudflare’s Under Attack -modus door het ChromedP -tool te gebruiken om de JavaScript -uitdaging aan gebruikers op te lossen en de klaringcookie te verkrijgen voor gebruik in volgende aanvragen. Dat gezegd hebbende, is het onwaarschijnlijk dat de bypass zal werken, aangezien deze uitdagingen expliciet zijn ontworpen om het browserverkeerloos te blokkeren.
Verdere analyse van C2 -infrastructuur heeft aangetoond dat de server achter CloudFlare wordt gehost om zijn ware oorsprong te verbergen. Het maakt ook gebruik van Fastapi en Pydantic en ondersteunt een inlogpaneel en operatorinterface, wat aangeeft dat de tool wordt ontwikkeld met het idee om een ”DDOS-for-Hire” -service aan te bieden.
Met de API -eindpunten kunnen operatoren gebruikers toevoegen, bijwerken of verwijderen, het type aanvallen configureren dat gebruikers kunnen uitvoeren, een lijst met eindpunten geven waaruit de aanval moet worden gestart en een lijst met sites uitsluiten die het doelwit zijn.
“Door gebruik te maken van containerisatie, een uitgebreide API en met een volledige gebruikersinterface, toont deze campagne de voortdurende ontwikkeling van cybercrime-as-a-service,” zei Bill. “De mogelijkheid om modulaire functionaliteit te leveren via een Go-gebaseerde rat en een gestructureerde API voor operatorinteractie bloot te leggen, benadrukt hoe geavanceerd sommige dreigingsacteurs zijn.”
De openbaarmaking komt omdat F5-labs zei dat het een webscanbotnet heeft gedetecteerd dat gebruikers van Mozilla-gerelateerde browser-gebruikersagenten gebruikt om aan internet blootgestelde systemen voor bekende beveiligingsfouten te richten. Tot nu toe zou het botnet 11.690 verschillende Mozilla-tekenreeksen voor gebruikersagent hebben gebruikt voor zijn scans.
Het komt ook als Cloudflare zei dat het autonoom geblokkeerde hyper-volumetrische DDOS-aanvallen die een piek bereikten van 22,2 terabits per seconde (TBP’s) en 10,6 miljard pakketten per seconde (BPP’s), volgens een bericht dat vandaag op X wordt gedeeld op X vandaag. De DDOS -aanval, de grootste ooit geregistreerd tot nu toe, duurde slechts 40 seconden.
Eerder deze maand onthulde het webinfrastructuurbedrijf dat het een record-instelling volumetrische gedistribueerde Denial-of-Service (DDOS) -aanval had beperkt die piekte bij 11,5 terabits per seconde (TBPS) en slechts ongeveer 35 seconden duurde.
De Chinese beveiligingsbedrijf Qianxin XLAB, in een technisch rapport vorige week, zei dat de botnet bekend als Aisuru verantwoordelijk is voor de aanval. Een variant van Airashi, het heeft bijna 300.000 apparaten geïnfecteerd, waarvan de meeste routers en beveiligingscamera’s zijn. Het botnet, volgens het bedrijf, wordt beheerd door drie personen – sneeuw, Tom en Forky – die respectievelijk voor ontwikkeling, kwetsbaarheidsintegratie en verkoop zorgen.
Recente iteraties van de malware omvatten een gewijzigd RC4-algoritme om broncode-strings te decoderen, snelheidstests uit te voeren om de laagste-latentieserver te vinden en stappen om gecompromitteerde apparaten te controleren om de aanwezigheid van netwerkhulpprogramma’s zoals TCPDump, Wireshark, Wireshark, evenals virtualization frameworks zoals VMware, QEMU, Qemu, Qemu, QEMLOBS, en KVM te bepalen.
“Het Aisuru Botnet heeft wereldwijd aanvallen gelanceerd, met meerdere industrieën,” merkte Xlab op. “De primaire doelen zijn gevestigd in regio’s zoals China, de Verenigde Staten, Duitsland, het Verenigd Koninkrijk en Hong Kong. De nieuwe monsters ondersteunen niet alleen DDOS -aanvallen, maar ook proxyfunctionaliteit. Naarmate de wereldwijde wetshandhaving de druk op cybercriminaliteit verhoogt, stijgt de vraag naar anonimiseringsdiensten.”
