Redazione RHC : 24 septiembre 2025 08:56
En medio de la creciente actividad delictiva, Darktrace ha descubierto una nueva campaña que utiliza la botnet ShadowV2. Los investigadores detectaron actividad maliciosa el 24 de junio de 2025, cuando se activaron sus honeypots. Este sistema se basa en un troyano escrito en Go que convierte los contenedores en la nube de Amazon Web Services comprometidos en nodos completos para ataques DDoS.
ShadowV2 es único porque explota instancias vulnerables de Docker que se ejecutan en máquinas virtuales de AWS EC2 . El primer paso de la infección es la implementación de un contenedor auxiliar basado en una imagen de Ubuntu, que instala automáticamente las herramientas necesarias.
A continuación, se crea un contenedor independiente con un archivo ejecutable ELF precompilado que se comunica con el servidor de comando y control en «shadow.aurozacloud[.]xyz «. El malware envía periódicamente mensajes de latido y recibe comandos de este servidor, incluyendo instrucciones para lanzar ataques.
La infraestructura de control de la botnet se basa en el framework Python FastAPI y la biblioteca Pydantic . La interfaz web del sistema incluye un módulo de inicio de sesión y un panel de control para operadores , que permite añadir y editar usuarios, establecer parámetros de ataque y especificar listas de objetivos y excepciones. Todo esto indica que ShadowV2 es una plataforma lista para usar para ataques DDoS mediante el modelo de pago por servicio.
Los ataques distribuidos con ShadowV2 incluyen técnicas avanzadas. Entre ellas, se encuentra el reinicio rápido HTTP/2, un ataque que puede bloquear servidores reiniciando repetidamente las conexiones de alta velocidad y evadiendo el modo «Bajo ataque» de Cloudflare. Esto se implementa mediante la herramienta ChromeDP , que resuelve automáticamente la actividad de JavaScript y obtiene cookies de omisión.
Sin embargo, la confiabilidad de este método es cuestionable, ya que muchas soluciones de seguridad detectan y bloquean el comportamiento del navegador sin cabeza.
Además, ShadowV2 utiliza un módulo de implementación independiente, también escrito en Python. Este componente secuestra los daemons de Docker y luego implementa un contenedor malicioso . Este enfoque permite a los atacantes minimizar su presencia en los equipos comprometidos y dificultar el análisis forense.
Lo particularmente alarmante es el enfoque de toda la arquitectura en la extensibilidad y la reutilización: la API de control no solo permite ataques personalizados, sino también escalar masivamente la infraestructura con automatización completa . ShadowV2 ejemplifica así una nueva generación de ciberdelincuencia, donde las herramientas maliciosas se asemejan cada vez más a los productos SaaS legítimos en términos de comodidad y escalabilidad .
Tras este incidente, F5 Labs reportó otra ola de actividad: una botnet que utiliza encabezados de navegador camuflados en Mozilla está realizando un escaneo masivo de internet en busca de vulnerabilidades conocidas. En total, se detectaron más de 11 000 cadenas de agente de usuario diferentes asociadas a navegadores basados en Mozilla.
Mientras tanto, Cloudflare publicó su propio informe anunciando el bloqueo automático del mayor ataque DDoS jamás registrado. El impacto registrado alcanzó los 22,2 Tbps con un pico de 10 600 millones de paquetes por segundo . El ataque duró solo 40 segundos, pero su intensidad estableció un nuevo récord en la historia de las ciberamenazas.
Todos estos eventos ponen de relieve la tendencia hacia herramientas de ataque cada vez más sofisticadas y el crecimiento de la industria del «cibercrimen como servicio» . Las botnets modernas como ShadowV2 se desarrollan priorizando la escalabilidad, la funcionalidad y la facilidad de uso, incluso para clientes sin experiencia técnica.
RedazioneIvanti ha publicado 13 vulnerabilidades en su software Endpoint Manager (EPM) , incluidas dos fallas de alta gravedad que podrían permitir la ejecución remota de código y la escalada de privilegios...
Los analistas de Sophos descubrieron una compleja operación de malware realizada por expertos en seguridad que utiliza el popular servicio de mensajería WhatsApp para propagar troyanos bancarios, ap...
Se ha identificado una vulnerabilidad crítica en la arquitectura de seguridad de hardware AMD SEV-SNP, que afecta a los principales proveedores de servicios en la nube (AWS, Microsoft Azure y Google ...
La empresa israelí NSO Group, desarrolladora del infame software espía Pegasus , quedó recientemente bajo el control de inversores estadounidenses. Un portavoz de la compañía anunció que la nuev...
Más de 1,2 millones de kilómetros de cables de fibra óptica se extienden por el fondo oceánico, considerados durante mucho tiempo solo como parte de una red global de telecomunicaciones. Sin embar...
