Los investigadores de ciberseguridad están llamando la atención sobre un nuevo malware de Botnet llamado Httpbot Eso se ha utilizado para destacar principalmente la industria del charnela, así como a las empresas de tecnología e instituciones educativas en China.
«En los últimos meses, se ha expandido agresivamente, aprovechando continuamente dispositivos infectados para editar ataques externos», dijo NSFocus en un crónica publicado esta semana. «Al consumir ataques de inundación HTTP en extremo simulados y técnicas de ofuscación de características dinámicas, elude los mecanismos tradicionales de detección basados en reglas».
Httpbot, vistos por primera vez en la naturaleza en agosto de 2024, obtiene su nombre del uso de protocolos HTTP para editar ataques distribuidos de denegación de servicio. Escrito en Golang, es una anomalía dada su objetivo de los sistemas de Windows.
El troyano Botnet basado en Windows es trascendente por su uso en ataques con precisión dirigidos dirigidos a interfaces comerciales de detención valencia, como los sistemas de inicio de sesión y de suscripción de juegos.
«Este ataque con precisión ‘como el bisturí’ plantea una amenaza sistémica para las industrias que dependen de la interacción en tiempo vivo», dijo la compañía con sede en Beijing. «Httpbot marca un cambio de modelo en los ataques DDoS, pasando de la ‘supresión del tráfico indiscriminado’ a ‘estrangulamiento comercial de suscripción precisión'».
Se estima que HTTPBOT emitió no menos de 200 instrucciones de ataque desde principios de abril de 2025, con los ataques diseñados para atacar la industria del charnela, las empresas de tecnología, las instituciones educativas y los portales de turismo en China.
Una vez instalado y ejecutado, el malware oculta su interfaz gráfica de sucesor (GUI) para evitar el monitoreo de procesos por parte de los usuarios y las herramientas de seguridad en un esfuerzo por aumentar el sigilo de los ataques. Incluso recurre a la manipulación no autorizada del registro de Windows para certificar que se ejecute automáticamente en el inicio del sistema.
El malware Botnet luego procede a establecer el contacto con un servidor de comando y control (C2) para esperar más instrucciones para ejecutar ataques de inundación HTTP contra objetivos específicos enviando un detención masa de solicitudes HTTP. Admite varios módulos de ataque –
- BrowserAttack, que implica el uso de instancias ocultas de Google Chrome para imitar el tráfico probado mientras agota los medios del servidor
- Httpautoattack, que utiliza un enfoque basado en cookies para fingir con precisión las sesiones legítimas
- Httpfpdlattack, que utiliza el protocolo HTTP/2 y opta por un enfoque que averiguación aumentar el cargador CPU en el servidor coaccionando para devolver respuestas grandes
- WebSocketAttack, que utiliza protocolos «ws: //» y «wss: //» para establecer conexiones WebSocket
- PostAttack, que obliga al uso de HTTP Post para realizar el ataque
- CookieatTack, que agrega un flujo de procesamiento de cookies basado en el método de ataque de BrowserAttack
«Las familias DDOS Botnet tienden a congregarse en plataformas Linux e IoT», dijo NSFOCUS. «Sin secuestro, la tribu Httpbot Botnet ha dirigido específicamente a la plataforma Windows».
«Al fingir profundamente las capas de protocolo e imitar el comportamiento probado del navegador, Httpbot omite las defensas que dependen de la integridad del protocolo. Incluso ocupa continuamente los medios de la sesión del servidor a través de rutas de URL aleatorias y mecanismos de reposición de cookies, en zona de reconocer del masa de tráfico Sheer».
