ShadowV2: la nuova botnet MaaS per attacchi DDoS sfrutta i container

Nel contesto di un’attività sempre più criminale, Darktrace ha scoperto una nuova campagna che utilizza la botnet ShadowV2. I ricercatori hanno rilevato attività dannose il 24 giugno 2025, quando sono stati attivati i loro honeypot. Questo sistema si basa su un trojan scritto in Go che trasforma i container cloud di Amazon Web Services compromessi in nodi a tutti gli effetti per attacchi DDoS.

ShadowV2 è unico in quanto sfrutta istanze Docker vulnerabili in esecuzione su macchine virtuali AWS EC2. Il primo passo dell’infezione è l’implementazione di un container helper basato su un’immagine Ubuntu, che installa automaticamente gli strumenti necessari.

Successivamente, viene creato un container separato con un file eseguibile ELF precompilato che comunica con il server di comando e controllo all’indirizzo “shadow.aurozacloud[.]xyz“. Il malware invia regolarmente messaggi heartbeat e riceve comandi da questo server, incluse le istruzioni per lanciare attacchi.

L’infrastruttura di controllo della botnet è realizzata utilizzando il framework Python FastAPI e la libreria Pydantic. L’interfaccia web del sistema include un modulo di login e un pannello di controllo per gli operatori, consentendo loro di aggiungere e modificare utenti, impostare parametri di attacco e specificare elenchi di obiettivi ed eccezioni. Tutto ciò indica che ShadowV2 è una piattaforma pronta all’uso per attacchi DDoS che utilizzano il modello “servizio a pagamento”.

Gli attacchi distribuiti effettuati tramite ShadowV2 includono tecniche avanzate. Tra queste, HTTP/2 Rapid Reset , un attacco in grado di mandare in crash i server resettando ripetutamente le connessioni ad alta velocità, e bypassando la modalità Under Attack di Cloudflare. Quest’ultima viene implementata tramite lo strumento ChromeDP, che risolve automaticamente le attività JavaScript e ottiene i cookie di bypass.

Tuttavia, l’affidabilità di questo metodo è discutibile, poiché molte soluzioni di sicurezza rilevano e bloccano il comportamento dei browser headless.

Inoltre, ShadowV2 utilizza un modulo di distribuzione separato, anch’esso scritto in Python. Questo componente hackera i daemon Docker e poi distribuisce un container dannoso. Questo approccio consente ai criminali di ridurre al minimo la loro presenza sui computer compromessi e ostacolare le analisi forensi.

Ciò che è particolarmente allarmante è l’attenzione dell’intera architettura su estensibilità e riutilizzo: l’API di controllo consente non solo di personalizzare gli attacchi, ma anche di scalare massicciamente l’infrastruttura con completa automazione. ShadowV2 rappresenta quindi un esempio di una nuova generazione di criminalità informatica, in cui gli strumenti dannosi assomigliano sempre più ai prodotti SaaS legittimi in termini di praticità e scalabilità.

In seguito a questo incidente, F5 Labs ha segnalato un’altra ondata di attività: una botnet che utilizza intestazioni di browser mascherate da Mozilla sta conducendo una scansione massiva di Internet alla ricerca di vulnerabilità note. In totale, sono state rilevate oltre 11.000 diverse stringhe User-Agent associate ai browser basati su Mozilla.

Nel frattempo, Cloudflare ha pubblicato un proprio report annunciando il blocco automatico del più grande attacco DDoS mai registrato. L’impatto registrato ha raggiunto i 22,2 Tbps con un picco di 10,6 miliardi di pacchetti al secondo. L’attacco è durato solo 40 secondi, ma la sua intensità ha stabilito un nuovo record nella storia delle minacce informatiche.

Tutti questi eventi evidenziano la tendenza verso strumenti di attacco sempre più sofisticati e la crescita del settore del “cybercrime-as-a-service”. Le botnet moderne come ShadowV2 sono sviluppate pensando a scalabilità, funzionalità e facilità d’uso, anche per clienti tecnicamente inesperti.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Sandro Sana

Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Aree di competenza: Cyber Threat Intelligence, NIS2, Governance & Compliance della Sicurezza, CSIRT & Crisis Management, Ricerca, Divulgazione e Cultura Cyber

Visita il sito web dell'autore