كشف باحثو الأمن السيبراني عن شبكة بوتنت جديدة يمكن للعملاء استئجارها لتنفيذ هجمات رفض الخدمة الموزعة (DDoS) على أهداف محددة.
وفق شركة Darktrace، تستهدف شبكة ShadowV2 بشكل رئيسي الحاويات غير المهيأة بشكل صحيح على خوادم AWS Docker لنشر برمجيات خبيثة بلغة Go تحول الأنظمة المصابة إلى عقد هجومية وتدمجها في بوتنت DDoS أوسع نطاقًا. وتم رصد هذه البرمجيات على HoneyPots في 24 يونيو 2025.
بنية الهجوم وأدوات التحكم
أوضح الباحث Nathaniel Bill أن “مركز هذه الحملة هو إطار C2 بلغة Python مستضاف على GitHub Codespaces“. وتميزت هذه الحملة بـ تعقيد أدوات الهجوم، إذ يستخدم المهاجمون تقنيات متقدمة مثل HTTP/2 Rapid Reset، تجاوز وضع Cloudflare Under Attack Mode، وفيضانات HTTP على نطاق واسع، مما يوضح قدرة الجمع بين هجمات DDoS التقليدية واستغلال الأنظمة المستهدفة بدقة.
تشمل أساليب الهجوم انتشار وحدة Python لاختراق Docker daemons على AWS EC2، بينما تتيح برمجية Go RAT تنفيذ الأوامر والتواصل مع المشغلين عبر بروتوكول HTTP.
نهج مبتكر في نشر الحاويات
عادة ما تستخدم الحملات التي تستهدف Docker إما تحميل صورة مخصصة أو استخدام صورة موجودة على Docker Hub لنشر الحمولة، إلا أن ShadowV2 تتبع نهجًا مختلفًا، إذ تقوم أولاً بإنشاء حاوية إعداد عامة من صورة Ubuntu وتثبيت الأدوات اللازمة فيها، ثم إنشاء صورة من الحاوية وتشغيلها مباشرة على الجهاز الضحية، بهدف تجنب ترك آثار جنائية رقمية.
الحاوية تتيح تشغيل ملف ELF بلغة Go للتواصل مع خادم C2 (“shadow.aurozacloud[.]xyz”)، وإرسال رسائل نبض (Heartbeat) للمشغلين وفحص نقاط النهاية للحصول على أوامر جديدة. كما تتضمن ميزات HTTP/2 Rapid Reset لتجاوز فيضانات HTTP التقليدية، وطرق لتجاوز وضع Cloudflare Under Attack باستخدام أداة ChromeDP لحل تحديات JavaScript والحصول على ملفات الكوكيز اللازمة للطلبات اللاحقة.
بنية API وواجهة المشغل
تم استضافة خادم C2 خلف Cloudflare لإخفاء موقعه الحقيقي، ويستخدم FastAPI وPydantic، ويقدم لوحة تسجيل دخول وواجهة مشغل، مما يشير إلى تطويره لتقديم خدمة DDoS-for-Hire. تتيح نقاط النهاية للمشغلين إضافة وتعديل وحذف المستخدمين، تكوين أنواع الهجمات، تحديد نقاط الانطلاق، واستثناء مواقع معينة.
وأكد Bill أن “الاستفادة من الحاويات، واجهة API واسعة، ووظائف متعددة عبر Go RAT تعكس التطور المستمر لنموذج Cybercrime-as-a-Service، وإظهار درجة تعقيد بعض الفاعلين السيبرانيين”.
السياق العالمي لهجمات DDoS
تأتي هذه الحملة بعد أن رصدت F5 Labs شبكة بوتنت تستخدم سلاسل User-Agent لمتصفح Mozilla لاستهداف أنظمة معرضة للإنترنت. كما أعلنت Cloudflare عن صدها لهجمات DDoS ضخمة بلغت ذروتها 22.2 تيرابت في الثانية و10.6 مليار حزمة في الثانية، وهي الأكبر على الإطلاق واستمرت 40 ثانية فقط.
وأشار تقرير آخر لشركة QiAnXin XLab الصينية إلى أن بوتنت AISURU مسؤول عن هجمات عالمية، مصابة ما يقرب من 300,000 جهاز معظمها راوترات وكاميرات أمنية، وتدار من قبل ثلاثة أفراد مسؤولين عن التطوير ودمج الثغرات والمبيعات. وتشمل النسخ الحديثة من البرمجيات تعديل خوارزمية RC4، اختبارات سرعة، وفحص الأجهزة لاكتشاف أدوات الشبكة والإفتراضية مثل tcpdump، Wireshark، VMware، QEMU، VirtualBox، وKVM.
وأكد XLab أن “بوتنت AISURU نفذ هجمات على نطاق عالمي، مستهدفًا مناطق مثل الصين، الولايات المتحدة، ألمانيا، المملكة المتحدة، وهونغ كونغ”، داعيًا إلى أن الطلب على خدمات إخفاء الهوية يزداد مع تصاعد الضغوط على مكافحة الجريمة السيبرانية الدولية.
