05 de julio de 2024Sala de prensaSeguridad de la red / Ataque cibernético Los investigadores de ciberseguridad han descubierto una nueva botnet llamada Zergeca que es capaz de realizar ataques distribuidos de denegación de servicio (DDoS). Escrita en Golang, la botnet recibe ese nombre por su referencia a una cadena llamada «ootheca» presente en los servidores de comando y control (C2) («ootheca[.]pw» y «ooteca»[.]»Funcionalmente, Zergeca no es solo una típica botnet DDoS; además de admitir seis métodos de ataque diferentes, también tiene capacidades de proxy, escaneo, actualización automática, persistencia, transferencia de archivos, shell inverso y recopilación de información confidencial del dispositivo», dijo el equipo de QiAnXin XLab en un informe. Zergeca también es notable por usar DNS sobre HTTPS (DoH) para realizar la resolución del Sistema de nombres de dominio (DNS) del servidor C2 y usar una biblioteca menos conocida conocida como Smux para las comunicaciones C2. Hay evidencia que sugiere que el malware se está desarrollando y actualizando activamente para admitir nuevos comandos. Además, la dirección IP C2 84.54.51[.]Se dice que 82 se utilizó anteriormente para distribuir la botnet Mirai alrededor de septiembre de 2023. A partir del 29 de abril de 2025, la misma dirección IP comenzó a usarse como servidor C2 para la nueva botnet, lo que plantea la posibilidad de que los actores de amenazas «acumularon experiencia operando las botnets Mirai antes de crear Zergeca». Los ataques montados por la botnet, principalmente ataques DDoS de inundación de ACK, se han dirigido a Canadá, Alemania y los EE. UU. entre principios y mediados de junio de 2024. Las características de Zergeca abarcan cuatro módulos distintos, a saber, persistencia, proxy, silivaccine y zombie, para configurar la persistencia agregando un servicio de sistema, implementando proxying, eliminando malware minero y de puerta trasera de la competencia y obteniendo control exclusivo sobre dispositivos que ejecutan la arquitectura de CPU x86-64, y manejan la funcionalidad principal de la botnet. El módulo zombie es responsable de informar la información sensible del dispositivo comprometido al C2 y espera comandos del servidor, soportando seis tipos de ataques DDoS, escaneo, shell inverso y otras funciones. «La lista de competidores incorporada muestra familiaridad con amenazas comunes de Linux», dijo XLab. «Técnicas como empaquetado UPX modificado, cifrado XOR para cadenas sensibles y el uso de DoH para ocultar la resolución del C2 demuestran una sólida comprensión de las tácticas de evasión». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.