Redazione RHC : 24 septiembre 2025 08:56
En medio de la creciente actividad delictiva, Darktrace ha descubierto una nueva campaña que utiliza la botnet ShadowV2. Los investigadores detectaron actividad maliciosa el 24 de junio de 2025, cuando se activaron sus honeypots. Este sistema se basa en un troyano escrito en Go que convierte los contenedores en la nube de Amazon Web Services comprometidos en nodos completos para ataques DDoS.
ShadowV2 es único porque explota instancias vulnerables de Docker que se ejecutan en máquinas virtuales de AWS EC2 . El primer paso de la infección es la implementación de un contenedor auxiliar basado en una imagen de Ubuntu, que instala automáticamente las herramientas necesarias.
A continuación, se crea un contenedor independiente con un archivo ejecutable ELF precompilado que se comunica con el servidor de comando y control en «shadow.aurozacloud[.]xyz «. El malware envía periódicamente mensajes de latido y recibe comandos de este servidor, incluyendo instrucciones para lanzar ataques.
La infraestructura de control de la botnet se basa en el framework Python FastAPI y la biblioteca Pydantic . La interfaz web del sistema incluye un módulo de inicio de sesión y un panel de control para operadores , que permite añadir y editar usuarios, establecer parámetros de ataque y especificar listas de objetivos y excepciones. Todo esto indica que ShadowV2 es una plataforma lista para usar para ataques DDoS mediante el modelo de pago por servicio.
Los ataques distribuidos con ShadowV2 incluyen técnicas avanzadas. Entre ellas, se encuentra el reinicio rápido HTTP/2, un ataque que puede bloquear servidores reiniciando repetidamente las conexiones de alta velocidad y evadiendo el modo «Bajo ataque» de Cloudflare. Esto se implementa mediante la herramienta ChromeDP , que resuelve automáticamente la actividad de JavaScript y obtiene cookies de omisión.
Sin embargo, la confiabilidad de este método es cuestionable, ya que muchas soluciones de seguridad detectan y bloquean el comportamiento del navegador sin cabeza.
Además, ShadowV2 utiliza un módulo de implementación independiente, también escrito en Python. Este componente secuestra los daemons de Docker y luego implementa un contenedor malicioso . Este enfoque permite a los atacantes minimizar su presencia en los equipos comprometidos y dificultar el análisis forense.
Lo particularmente alarmante es el enfoque de toda la arquitectura en la extensibilidad y la reutilización: la API de control no solo permite ataques personalizados, sino también escalar masivamente la infraestructura con automatización completa . ShadowV2 ejemplifica así una nueva generación de ciberdelincuencia, donde las herramientas maliciosas se asemejan cada vez más a los productos SaaS legítimos en términos de comodidad y escalabilidad .
Tras este incidente, F5 Labs reportó otra ola de actividad: una botnet que utiliza encabezados de navegador camuflados en Mozilla está realizando un escaneo masivo de internet en busca de vulnerabilidades conocidas. En total, se detectaron más de 11 000 cadenas de agente de usuario diferentes asociadas a navegadores basados en Mozilla.
Mientras tanto, Cloudflare publicó su propio informe anunciando el bloqueo automático del mayor ataque DDoS jamás registrado. El impacto registrado alcanzó los 22,2 Tbps con un pico de 10 600 millones de paquetes por segundo . El ataque duró solo 40 segundos, pero su intensidad estableció un nuevo récord en la historia de las ciberamenazas.
Todos estos eventos ponen de relieve la tendencia hacia herramientas de ataque cada vez más sofisticadas y el crecimiento de la industria del «cibercrimen como servicio» . Las botnets modernas como ShadowV2 se desarrollan priorizando la escalabilidad, la funcionalidad y la facilidad de uso, incluso para clientes sin experiencia técnica.
RedazioneUn comando de servicio casi olvidado ha vuelto a cobrar protagonismo tras ser detectado en nuevos patrones de infección de dispositivos Windows. Considerado durante décadas una reliquia de los inici...
En el porche de una vieja cabaña en Colorado, Mark Gubrud , de 67 años, mira distraídamente el anochecer distante, con su teléfono a su lado y la pantalla todavía en una aplicación de noticias. ...
El trabajo remoto ha dado libertad a los empleados , pero con él también ha llegado la vigilancia digital . Ya comentamos esto hace tiempo en un artículo donde informamos que estas herramientas de ...
La empresa israelí NSO Group apeló un fallo de un tribunal federal de California que le prohíbe utilizar la infraestructura de WhatsApp para distribuir su software de vigilancia Pegasus. El caso, q...
Se ha identificado una vulnerabilidad de omisión de autenticación en Azure Bastion (descubierta por RHC gracias a la monitorización constante de CVE críticos en nuestro portal), el servicio gestio...
