Скриптове на Go, атаки в Германия и САЩ. Ботнет от ново поколение вече е във вашата архитектура
Новата ботнет мрежа hpingbot, открита от световната система за следене на заканите на лабораторията NSFOCUS Fuying Lab, се трансформира в една от най-значимите закани в киберпространството през седмиците от началото на юни 2025 година
Според специалистите тя съставлява изцяло независима разработка, построена от нулата на езика Go, която може да работи както във Windows, по този начин и в Linux устройства и IoT системи. Тя също по този начин поддържа голям брой процесорни архитектури, в това число amd64, mips, arm и 80386.
За разлика от публикуваните и добре познати мрежи като Mirai и Gafgyt, новата hpingbot показва новаторски метод и употребява нетрадиционни способи, с цел да скрие активността си и да усили успеваемостта си. По-конкретно, хакерите употребяват услугата за предпазване на текст Pastebin, с цел да доставят зловредните съставни елементи, и употребяват мрежовия инструмент hping3, с цел да провеждат DDoS офанзиви.
Според отчета този способ на работа освен прави откриването на ботнета доста по-трудно, само че и доста понижава разноските за поддръжка и създаване на ботнета. Всичко това трансформира hpingbot в една от най-бързо разрастващите се и рискови закани.
Експертите означават, че благодарение на Pastebin нападателите могат постоянно и динамично да актуализират зловредните файлове, което дава опция на ботнета бързо да се приспособява към изменящите се условия и цели. От средата на юни 2025 година Pastebin неведнъж е променял наличието на връзките, свързани с ботнета – от елементарен лист с IP адреси до скриптове за евакуиране на спомагателни съставни елементи.
Ключов детайл на офанзивата остава потреблението на помощната стратегия hping3, която нормално се употребява за диагностика на мрежовите връзки, само че в този случай нейната функционалност се употребява за мощни DDoS офанзиви. Ботнетът е кадърен да генерира SYN floods, UDP floods и комбинирани офанзиви, което го прави рисков инструмент за деактивиране на целевите запаси.
Интересно е, че версията на hpingbot за Windows не може да ползва hping3 заради особеностите на операционната система. Дори и в този случай обаче интензивността на инфектираните устройства не понижава – те не престават да изтеглят и извършват случайни зловредни файлове, което демонстрира, че задачите на нападателите са по-широки от елементарния бойкот на мрежата.
Според данните от мониторинга на Fuying Lab от 17-ти юни насам са регистрирани единствено няколкостотин команди за DDoS офанзиви, като по-голямата част от тях са ориентирани към цели в Германия, Съединени американски щати и Турция. Това демонстрира, че разработчиците на hpingbot не са фокусирани върху офанзивите, а върху построяването на инфраструктура за бъдещи, по-мащабни интервенции.
Скоростта на развиване на hpingbot е съществено притеснителна. Мрежата се обновява интензивно: C2 сървърите, връзките към Pastebin, инсталационните скриптове и злонамерените модули постоянно се трансформират. От 19-ти юни насам нападателите популяризират посредством възлите на hpingbot спомагателни съставни елементи, написани на езика Go, които също са предопределени за DDoS офанзиви. Вероятно това е или опит за актуализиране на съществуващите детайли на мрежата, или за разширение на нейната функционалност.
Заслужава да се означи, че новите съставни елементи съдържат информация за премахване на грешките на немски език, което може да демонстрира стадия на тестване на тези принадлежности. Едновременното им разпространяване в действителна среда обаче демонстрира, че нападателите са уверени в своите разработки и подценяват ограниченията за отбрана.
Освен това специалистите идентифицираха модул за независимо разпространяване посредством SSH, механизми за обезпечаване на непрекъснато наличие в системата (с помощта на Systemd, SysVinit и Cron), както и способи за скриване на следите от наличието като част от hpingbot. Това демонстрира високо равнище на организация и подготовка на разработчиците на ботнети.
Като се има поради, че актуалните ботнети все по-често се трансформират в платформи за шпионски групировки и акции за откуп, капацитетът на hpingbot да продължи да популяризира по-опасни закани буди съществено безпокойствие. Ситуацията продължава да се следи от близко.
