Redazione RHC : 24 septiembre 2025 08:56
En medio de la creciente actividad delictiva, Darktrace ha descubierto una nueva campaña que utiliza la botnet ShadowV2. Los investigadores detectaron actividad maliciosa el 24 de junio de 2025, cuando se activaron sus honeypots. Este sistema se basa en un troyano escrito en Go que convierte los contenedores en la nube de Amazon Web Services comprometidos en nodos completos para ataques DDoS.
ShadowV2 es único porque explota instancias vulnerables de Docker que se ejecutan en máquinas virtuales de AWS EC2 . El primer paso de la infección es la implementación de un contenedor auxiliar basado en una imagen de Ubuntu, que instala automáticamente las herramientas necesarias.
A continuación, se crea un contenedor independiente con un archivo ejecutable ELF precompilado que se comunica con el servidor de comando y control en «shadow.aurozacloud[.]xyz «. El malware envía periódicamente mensajes de latido y recibe comandos de este servidor, incluyendo instrucciones para lanzar ataques.
La infraestructura de control de la botnet se basa en el framework Python FastAPI y la biblioteca Pydantic . La interfaz web del sistema incluye un módulo de inicio de sesión y un panel de control para operadores , que permite añadir y editar usuarios, establecer parámetros de ataque y especificar listas de objetivos y excepciones. Todo esto indica que ShadowV2 es una plataforma lista para usar para ataques DDoS mediante el modelo de pago por servicio.
Los ataques distribuidos con ShadowV2 incluyen técnicas avanzadas. Entre ellas, se encuentra el reinicio rápido HTTP/2, un ataque que puede bloquear servidores reiniciando repetidamente las conexiones de alta velocidad y evadiendo el modo «Bajo ataque» de Cloudflare. Esto se implementa mediante la herramienta ChromeDP , que resuelve automáticamente la actividad de JavaScript y obtiene cookies de omisión.
Sin embargo, la confiabilidad de este método es cuestionable, ya que muchas soluciones de seguridad detectan y bloquean el comportamiento del navegador sin cabeza.
Además, ShadowV2 utiliza un módulo de implementación independiente, también escrito en Python. Este componente secuestra los daemons de Docker y luego implementa un contenedor malicioso . Este enfoque permite a los atacantes minimizar su presencia en los equipos comprometidos y dificultar el análisis forense.
Lo particularmente alarmante es el enfoque de toda la arquitectura en la extensibilidad y la reutilización: la API de control no solo permite ataques personalizados, sino también escalar masivamente la infraestructura con automatización completa . ShadowV2 ejemplifica así una nueva generación de ciberdelincuencia, donde las herramientas maliciosas se asemejan cada vez más a los productos SaaS legítimos en términos de comodidad y escalabilidad .
Tras este incidente, F5 Labs reportó otra ola de actividad: una botnet que utiliza encabezados de navegador camuflados en Mozilla está realizando un escaneo masivo de internet en busca de vulnerabilidades conocidas. En total, se detectaron más de 11 000 cadenas de agente de usuario diferentes asociadas a navegadores basados en Mozilla.
Mientras tanto, Cloudflare publicó su propio informe anunciando el bloqueo automático del mayor ataque DDoS jamás registrado. El impacto registrado alcanzó los 22,2 Tbps con un pico de 10 600 millones de paquetes por segundo . El ataque duró solo 40 segundos, pero su intensidad estableció un nuevo récord en la historia de las ciberamenazas.
Todos estos eventos ponen de relieve la tendencia hacia herramientas de ataque cada vez más sofisticadas y el crecimiento de la industria del «cibercrimen como servicio» . Las botnets modernas como ShadowV2 se desarrollan priorizando la escalabilidad, la funcionalidad y la facilidad de uso, incluso para clientes sin experiencia técnica.
RedazioneReuters informó que Trump declaró a la prensa durante una entrevista pregrabada para el programa «60 Minutes» de CBS y a bordo del Air Force One durante el vuelo de regreso: «No vamos a permitir ...
Un informe de FortiGuard correspondiente al primer semestre de 2025 muestra que los atacantes motivados por intereses económicos están evitando cada vez más las vulnerabilidades y el malware sofist...
La primera computadora cuántica atómica de China ha alcanzado un importante hito comercial al registrar sus primeras ventas a clientes nacionales e internacionales, según medios estatales. El Hubei...
El director ejecutivo de NVIDIA, Jen-Hsun Huang, supervisa directamente a 36 empleados en siete áreas clave: estrategia, hardware, software, inteligencia artificial, relaciones públicas, redes y asi...
OpenAI ha presentado Aardvark, un asistente autónomo basado en el modelo GPT-5 , diseñado para encontrar y corregir automáticamente vulnerabilidades en el código de software. Esta herramienta de I...
