Los investigadores de seguridad cibernética han descubierto una sofisticada botné de raspador que comprende más de 3.600 dispositivos únicos que han estado apuntando sistemáticamente a los sistemas en los Estados Unidos y el Reino Unido desde abril de 2025.
La campaña de malware representa una escalada significativa en los ataques de raspado web automatizado, aprovechando una infraestructura distribuida globalmente con una concentración preocupante de dispositivos comprometidos en Taiwán.
La botnet opera a través de un enfoque engañosamente simple, empleando la cadena de agente de usuario “Hello-World/1.0” mientras se ejecuta las solicitudes de GET repetidas a través de los puertos 80-85 en un patrón distribuido uniformemente.
A pesar del identificador de agente de usuario aparentemente básico, la verdadera complejidad radica en las huellas digitales de comportamiento del malware, lo que hace que los métodos de detección tradicionales sean inadecuados para identificar la amenaza.
Analistas de grises identificado Esta variante no seguida previamente a través de técnicas avanzadas de huellas dactilares de red, que va más allá de la detección convencional basada en la firma para analizar el comportamiento real de los dispositivos infectados.
El equipo de investigación desarrolló una metodología de detección sofisticada utilizando firmas JA4+, creando una meta-firma que captura los patrones de comportamiento de red únicos de Botnet.
La distribución geográfica revela una concentración preocupante, con 1.934 direcciones IP originadas en redes taiwanesas, lo que representa el 54% de la infraestructura total de Botnet.
Países fuente (fuente – Greynoise)
Esta agrupación sugiere un compromiso generalizado de una tecnología común desplegada en Taiwán o la explotación de una vulnerabilidad compartida que afecta a los sistemas locales.
Detección avanzada a través del análisis del comportamiento
El avance en la identificación de esta botnet se produjo a través de la implementación del análisis de firma JA4+, que combina tecnologías JA4H (hiting hitinglint) y JA4T (huella digital TCP).
El componente JA4H captura cómo se ordenan y formatean los encabezados HTTP, mientras que JA4T codifica la manera específica en que los dispositivos establecen conexiones de red.
Este enfoque de comportamiento crea una firma de detección que no se puede falsificar o evadir fácilmente, ya que se basa en el comportamiento de la red fundamental en lugar de los identificadores fácilmente manipulados.
AGENTO DE USUARIO: Hello-World/1.0 Puertos: 80-85 (distribuido) Método: Obtener el patrón de solicitudes: orientación sistemática repetida
Entre las direcciones IP identificadas, 1.359 se han clasificado como maliciosos, con 122 adicionales marcados como sospechosos, lo que indica el perfil de amenaza activa de Botnet.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
