A principios de marzo de 2025, los equipos de seguridad observaron por primera vez un L7 DDOS Botnet sin precedentes dirigido a aplicaciones web en múltiples sectores.
La botnet, que se expande rápidamente de los dispositivos iniciales de 1.33 millones comprometidos, empleó HTTP obtiene inundaciones para agotar los recursos del servidor y eludir la limitación de la tasa tradicional.
A mediados de mayo, la amenaza se intensificó a medida que la botnet creció a 4.6 millones de nodos, aprovechando dispositivos IoT comprometidos y puntos finales mal asegurados para amplificar su superficie de ataque.
Para septiembre, esta red en expansión había movilizado 5,76 millones de direcciones IP para un asalto coordinado a una organización gubernamental, generando decenas de millones de solicitudes por segundo.
Los analistas de Qrator Labs notaron cambios significativos en la distribución geográfica, con Brasil, Vietnam y Estados Unidos emergiendo como principales fuentes de tráfico malicioso.
El ataque se desarrolló en dos ondas: un aumento inicial que involucra aproximadamente 2.8 millones de dispositivos, seguido una hora más tarde por 3 millones de nodos adicionales.
Los encabezados HTTP en la segunda ola revelaron cadenas aleatorias de agentes de usuario diseñadas para evadir el filtrado de tráfico simple.
Investigadores de Qrator Labs identificado Adaptaciones clave en el mecanismo de control de Botnet que facilitó su rápida escala.
El malware se comunica sobre canales encriptados con una infraestructura descentralizada de comando y control (C2), que los atacantes giran con frecuencia para evitar la lista negra.
La mitigación basada en la firma luchó para mantener el ritmo ya que cada punto final C2 estuvo activo durante solo horas antes de la rotación.
Mecanismo de infección y persistencia
El vector de infección central se basa en la explotación de la fuerza bruta de las credenciales predeterminadas y las vulnerabilidades sin parpadear en el firmware IoT común.
Una vez dentro de un dispositivo, el malware implementa un RootKit liviano que se inclina en las interfaces de red e intercepta las rutinas de actualización de firmware.
Un fragmento de código extraído por Qrator Labs ilustra la estrategia de persistencia:-
// Intercept Firmware Update Llamas intank_update (char *rath) {if (! Strcmp (rath, “/usr/bin/fw_update”)) {Launch_payload (); regresar 0; } return Orig_Update (ruta); }
Este enfoque garantiza que los módulos maliciosos se vuelvan a cargar después de que cada sistema se reinicie, lo que hace que la remediación basada en reinicio simple sea ineficaz.
El sigiloso RootKit también suprime los listados de procesos sospechosos, lo que complica aún más la detección y eliminación.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
