Pesquisadores em cibersegurança revelaram detalhes de um novo botnet que oferece acesso via aluguel para a realização de ataques distribuídos de negação de serviço (DDoS) contra alvos específicos.
Batizado de ShadowV2, o botnet, segundo a empresa Darktrace, foca principalmente em containers Docker mal configurados em servidores na nuvem Amazon Web Services (AWS).
A estratégia é infectar esses ambientes com um malware desenvolvido em Go, que transforma as máquinas comprometidas em nós de ataque, integrando-os a uma rede maior para execução de DDoS.
A detecção do malware em honeypots da empresa ocorreu em 24 de junho de 2025.
“Esta campanha tem como núcleo um framework de command-and-control (C2), escrito em Python e hospedado no GitHub Codespaces”, explicou o pesquisador de segurança Nathaniel Bill ao compartilhar seu relatório com o The Hacker News.
O que diferencia essa operação é a sofisticação do seu arsenal ofensivo.
Os atacantes utilizam técnicas avançadas como HTTP/2 Rapid Reset, um método para contornar o modo “Under Attack” da Cloudflare (UAM), e ataques massivos de HTTP flood.
Isso demonstra a capacidade de mesclar táticas de DDoS distribuído com exploração direcionada.
Um ponto notável da infraestrutura do ShadowV2 é o uso de um módulo em Python para se espalhar e invadir Docker daemons — especialmente aqueles rodando em instâncias AWS EC2.
Paralelamente, o trojan de acesso remoto (RAT) em Go permite a execução de comandos e comunicação com os operadores via protocolo HTTP.
Os próprios autores descrevem o botnet como uma “plataforma de ataque avançada”.
Campanhas que miram containers Docker expostos costumam usar o acesso obtido para subir imagens personalizadas ou explorar imagens existentes do Docker Hub para implantar payloads.
Contudo, o ShadowV2 segue uma abordagem distinta: primeiro, ele cria um container genérico a partir da imagem Ubuntu e instala diversas ferramentas dentro dele.
Depois, uma nova imagem é gerada a partir desse container e implantada “ao vivo”.
Ainda não está claro o motivo dessa escolha, mas a Darktrace sugere que os atacantes podem estar tentando evitar deixar rastros forenses, realizando as ações diretamente no sistema da vítima.
Esse container atua como base para a execução de um binário ELF em Go, que estabelece comunicação com o servidor C2 (shadow[.]aurozacloud[.]xyz).
Ele envia periodicamente mensagens de “heartbeat” para os operadores e consulta um endpoint para receber novos comandos.
O malware suporta ataques HTTP/2 Rapid Reset, que se diferenciam dos tradicionais floods HTTP, além de contornar o modo Under Attack da Cloudflare usando a ferramenta ChromeDP.
Essa solução resolve o desafio em JavaScript imposto a visitantes legítimos para adquirir o cookie de liberação, necessário para as solicitações seguintes.
Entretanto, essa técnica tem baixa eficácia contra desafios projetados para bloquear tráfego via navegadores headless.
Uma análise da infraestrutura C2 mostrou que o servidor está protegido por Cloudflare, escondendo sua localização real.
A plataforma usa frameworks modernos como FastAPI e Pydantic, além de disponibilizar um painel de login e interface para operadores, o que indica o desenvolvimento do botnet como um serviço “DDoS-for-Hire”.
A API permite aos operadores criar, alterar e excluir usuários, configurar tipos de ataques permitidos para cada um, definir listas de endpoints para lançamento dos ataques e até excluir certos alvos, evidenciando um sistema modular e personalizável.
“Essa campanha, ao combinar containerização, API extensa e interface completa, mostra a evolução contínua do cybercrime como serviço”, comentou Bill.
“A capacidade de oferecer funcionalidades modulares via um RAT em Go, expor uma API estruturada para interação dos operadores e manter um ambiente complexo é um exemplo da sofisticação de alguns atores maliciosos.”
Essa divulgação acontece paralelamente à detecção pela F5 Labs de um botnet de varredura web que utiliza user agents relacionados ao navegador Mozilla para identificar sistemas expostos na internet com vulnerabilidades conhecidas.
Até o momento, o botnet já empregou 11.690 variantes de strings User-Agent Mozilla para suas varreduras.
Também recentemente, a Cloudflare anunciou que bloqueou autonomamente ataques DDoS volumétricos recordes, que chegaram a picos de 22,2 terabits por segundo (Tbps) e 10,6 bilhões de pacotes por segundo (Bpps).
No início do mês, a mesma empresa revelou ter mitigado um ataque volumétrico que alcançou 11,5 Tbps e durou cerca de 35 segundos — um feito recorde na defesa contra DDoS.
Em relatório técnico divulgado semana passada, a QiAnXin XLab, empresa chinesa de segurança, atribuiu esse ataque ao botnet AISURU, variante do AIRASHI.
O botnet já infectou cerca de 300.000 dispositivos, principalmente roteadores e câmeras de segurança.
Essa rede clandestina é gerenciada por três indivíduos, conhecidos como Snow, Tom e Forky, que ficam responsáveis, respectivamente, pelo desenvolvimento, pela integração de vulnerabilidades e pela comercialização do serviço.
As versões recentes do malware contam com um algoritmo RC4 modificado para decifrar strings de código-fonte, realizam testes de velocidade para escolher servidores com menor latência e fazem verificações nos dispositivos infectados para identificar utilitários de rede como tcpdump e Wireshark, além de ambientes de virtualização como VMware, QEMU, VirtualBox e KVM.
“O botnet AISURU já realizou ataques em todo o mundo, abrangendo múltiplos setores”, indicou a XLab.
“Seus principais alvos estão localizados na China, Estados Unidos, Alemanha, Reino Unido e Hong Kong.
As novas amostras não suportam apenas ataques DDoS, mas também funcionalidades de Proxy.
À medida que a repressão global ao cibercrime aumenta, cresce a demanda por serviços de anonimização.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...