Redazione RHC : 24 Settembre 2025 08:55
Nel contesto di un’attività sempre più criminale, Darktrace ha scoperto una nuova campagna che utilizza la botnet ShadowV2. I ricercatori hanno rilevato attività dannose il 24 giugno 2025, quando sono stati attivati i loro honeypot. Questo sistema si basa su un trojan scritto in Go che trasforma i container cloud di Amazon Web Services compromessi in nodi a tutti gli effetti per attacchi DDoS.
ShadowV2 è unico in quanto sfrutta istanze Docker vulnerabili in esecuzione su macchine virtuali AWS EC2. Il primo passo dell’infezione è l’implementazione di un container helper basato su un’immagine Ubuntu, che installa automaticamente gli strumenti necessari.
Successivamente, viene creato un container separato con un file eseguibile ELF precompilato che comunica con il server di comando e controllo all’indirizzo “shadow.aurozacloud[.]xyz“. Il malware invia regolarmente messaggi heartbeat e riceve comandi da questo server, incluse le istruzioni per lanciare attacchi.
Prompt Engineering & Sicurezza: diventa l’esperto che guida l’AIVuoi dominare l’AI generativa e usarla in modo sicuro e professionale? Con il Corso Prompt Engineering: dalle basi alla cybersecurity, guidato da Luca Vinciguerra, data scientist ed esperto di sicurezza informatica, impari a creare prompt efficaci, ottimizzare i modelli linguistici e difenderti dai rischi legati all’intelligenza artificiale. Un percorso pratico e subito spendibile per distinguerti nel mondo del lavoro. Non restare indietro: investi oggi nelle tue competenze e porta il tuo profilo professionale a un nuovo livello. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]  Supporta RHC attraverso:
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
L’infrastruttura di controllo della botnet è realizzata utilizzando il framework Python FastAPI e la libreria Pydantic. L’interfaccia web del sistema include un modulo di login e un pannello di controllo per gli operatori, consentendo loro di aggiungere e modificare utenti, impostare parametri di attacco e specificare elenchi di obiettivi ed eccezioni. Tutto ciò indica che ShadowV2 è una piattaforma pronta all’uso per attacchi DDoS che utilizzano il modello “servizio a pagamento”.
Gli attacchi distribuiti effettuati tramite ShadowV2 includono tecniche avanzate. Tra queste, HTTP/2 Rapid Reset , un attacco in grado di mandare in crash i server resettando ripetutamente le connessioni ad alta velocità, e bypassando la modalità Under Attack di Cloudflare. Quest’ultima viene implementata tramite lo strumento ChromeDP, che risolve automaticamente le attività JavaScript e ottiene i cookie di bypass.
Tuttavia, l’affidabilità di questo metodo è discutibile, poiché molte soluzioni di sicurezza rilevano e bloccano il comportamento dei browser headless.
Inoltre, ShadowV2 utilizza un modulo di distribuzione separato, anch’esso scritto in Python. Questo componente hackera i daemon Docker e poi distribuisce un container dannoso. Questo approccio consente ai criminali di ridurre al minimo la loro presenza sui computer compromessi e ostacolare le analisi forensi.
Ciò che è particolarmente allarmante è l’attenzione dell’intera architettura su estensibilità e riutilizzo: l’API di controllo consente non solo di personalizzare gli attacchi, ma anche di scalare massicciamente l’infrastruttura con completa automazione. ShadowV2 rappresenta quindi un esempio di una nuova generazione di criminalità informatica, in cui gli strumenti dannosi assomigliano sempre più ai prodotti SaaS legittimi in termini di praticità e scalabilità.
In seguito a questo incidente, F5 Labs ha segnalato un’altra ondata di attività: una botnet che utilizza intestazioni di browser mascherate da Mozilla sta conducendo una scansione massiva di Internet alla ricerca di vulnerabilità note. In totale, sono state rilevate oltre 11.000 diverse stringhe User-Agent associate ai browser basati su Mozilla.
Nel frattempo, Cloudflare ha pubblicato un proprio report annunciando il blocco automatico del più grande attacco DDoS mai registrato. L’impatto registrato ha raggiunto i 22,2 Tbps con un picco di 10,6 miliardi di pacchetti al secondo. L’attacco è durato solo 40 secondi, ma la sua intensità ha stabilito un nuovo record nella storia delle minacce informatiche.
Tutti questi eventi evidenziano la tendenza verso strumenti di attacco sempre più sofisticati e la crescita del settore del “cybercrime-as-a-service”. Le botnet moderne come ShadowV2 sono sviluppate pensando a scalabilità, funzionalità e facilità d’uso, anche per clienti tecnicamente inesperti.
RedazioneNel contesto di un’attività sempre più criminale, Darktrace ha scoperto una nuova campagna che utilizza la botnet ShadowV2. I ricercatori hanno rilevato attività dannose il 24 giugno 2025, quando...
Il sistema informatico del Comune di Forlì è stato oggetto di un attacco hacker che ha compromesso il funzionamento di diversi servizi digitali. L’amministrazione comunale, riporta Il Resto Del Ca...
Ho lavorato per diversi anni come System Engineer e uno dei compiti che ho svolto è stata la gestione di Citrix PVS. Uno dei problemi con PVS era l’analisi dei file di dump. L’unico modo per gene...
I servizi segreti statunitensi hanno riferito di aver scoperto e sequestrato una rete di apparecchiature di telecomunicazione nell’area di New York in grado di interrompere il servizio di telefonia ...
Il colosso Cloudflare ha reso noto di aver gestito in autonomia un attacco DDoS (Distributed Denial-of-Service) senza precedenti, il più grande mai visto fino ad ora. L’attacco ipervolumetrico ha r...
