Redazione RHC : 24 Settembre 2025 08:55
Nel contesto di un’attività sempre più criminale, Darktrace ha scoperto una nuova campagna che utilizza la botnet ShadowV2. I ricercatori hanno rilevato attività dannose il 24 giugno 2025, quando sono stati attivati i loro honeypot. Questo sistema si basa su un trojan scritto in Go che trasforma i container cloud di Amazon Web Services compromessi in nodi a tutti gli effetti per attacchi DDoS.
ShadowV2 è unico in quanto sfrutta istanze Docker vulnerabili in esecuzione su macchine virtuali AWS EC2. Il primo passo dell’infezione è l’implementazione di un container helper basato su un’immagine Ubuntu, che installa automaticamente gli strumenti necessari.
Successivamente, viene creato un container separato con un file eseguibile ELF precompilato che comunica con il server di comando e controllo all’indirizzo “shadow.aurozacloud[.]xyz“. Il malware invia regolarmente messaggi heartbeat e riceve comandi da questo server, incluse le istruzioni per lanciare attacchi.
 CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHCSei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
L’infrastruttura di controllo della botnet è realizzata utilizzando il framework Python FastAPI e la libreria Pydantic. L’interfaccia web del sistema include un modulo di login e un pannello di controllo per gli operatori, consentendo loro di aggiungere e modificare utenti, impostare parametri di attacco e specificare elenchi di obiettivi ed eccezioni. Tutto ciò indica che ShadowV2 è una piattaforma pronta all’uso per attacchi DDoS che utilizzano il modello “servizio a pagamento”.
Gli attacchi distribuiti effettuati tramite ShadowV2 includono tecniche avanzate. Tra queste, HTTP/2 Rapid Reset , un attacco in grado di mandare in crash i server resettando ripetutamente le connessioni ad alta velocità, e bypassando la modalità Under Attack di Cloudflare. Quest’ultima viene implementata tramite lo strumento ChromeDP, che risolve automaticamente le attività JavaScript e ottiene i cookie di bypass.
Tuttavia, l’affidabilità di questo metodo è discutibile, poiché molte soluzioni di sicurezza rilevano e bloccano il comportamento dei browser headless.
Inoltre, ShadowV2 utilizza un modulo di distribuzione separato, anch’esso scritto in Python. Questo componente hackera i daemon Docker e poi distribuisce un container dannoso. Questo approccio consente ai criminali di ridurre al minimo la loro presenza sui computer compromessi e ostacolare le analisi forensi.
Ciò che è particolarmente allarmante è l’attenzione dell’intera architettura su estensibilità e riutilizzo: l’API di controllo consente non solo di personalizzare gli attacchi, ma anche di scalare massicciamente l’infrastruttura con completa automazione. ShadowV2 rappresenta quindi un esempio di una nuova generazione di criminalità informatica, in cui gli strumenti dannosi assomigliano sempre più ai prodotti SaaS legittimi in termini di praticità e scalabilità.
In seguito a questo incidente, F5 Labs ha segnalato un’altra ondata di attività: una botnet che utilizza intestazioni di browser mascherate da Mozilla sta conducendo una scansione massiva di Internet alla ricerca di vulnerabilità note. In totale, sono state rilevate oltre 11.000 diverse stringhe User-Agent associate ai browser basati su Mozilla.
Nel frattempo, Cloudflare ha pubblicato un proprio report annunciando il blocco automatico del più grande attacco DDoS mai registrato. L’impatto registrato ha raggiunto i 22,2 Tbps con un picco di 10,6 miliardi di pacchetti al secondo. L’attacco è durato solo 40 secondi, ma la sua intensità ha stabilito un nuovo record nella storia delle minacce informatiche.
Tutti questi eventi evidenziano la tendenza verso strumenti di attacco sempre più sofisticati e la crescita del settore del “cybercrime-as-a-service”. Le botnet moderne come ShadowV2 sono sviluppate pensando a scalabilità, funzionalità e facilità d’uso, anche per clienti tecnicamente inesperti.
RedazioneNonostante Internet Explorer sia ufficialmente fuori supporto dal giugno 2022, Microsoft ha recentemente dovuto affrontare una minaccia che sfrutta la modalità Internet Explorer (IE Mode) in Edge, pr...
Datacenter nello spazio, lander lunari, missioni marziane: il futuro disegnato da Bezos a Torino. Ma la vera rivelazione è l’aneddoto del nonno che ne svela il profilo umano Anche quest’anno Tori...
E’ stata individuata dagli analisti di Sophos, una complessa operazione di malware da parte di esperti in sicurezza, che utilizza il noto servizio di messaggistica WhatsApp come mezzo per diffondere...
È stata identificata una vulnerabilità critica nell’architettura di sicurezza hardware AMD SEV-SNP, che impatta i principali provider cloud (AWS, Microsoft Azure e Google Cloud). Tale bug consente...
Nel mondo della sicurezza informatica, dove ogni parola pesa e ogni concetto può diventare complesso, a volte basta un’immagine per dire tutto. Un meme, con la sua ironia tagliente e goliardica e l...
