La scena del cybercrime-as-a-service si arricchisce di un nuovo protagonista: ShadowV2, una botnet sofisticata scoperta da Darktrace che ridefinisce i confini delle infrastrutture malevole con un approccio inedito, capace di fondere malware tradizionale e tecnologie cloud-native. L’indagine ha rivelato una campagna in grado di combinare linguaggi come Python e Go, containerizzazione Docker, interfacce API modulari e persino un pannello utente completo, trasformando ciò che un tempo era una semplice botnet in una piattaforma DDoS-as-a-service. Questa evoluzione conferma un trend già in atto: i gruppi criminali replicano pratiche tipiche del mondo DevOps, creando strumenti che assomigliano sempre più a servizi legittimi in termini di design, modularità e facilità d’uso.
Cosa leggere
Un’infrastruttura che imita il cloud legittimo
La campagna ShadowV2 è stata osservata attraverso numerosi honeypot distribuiti da Darktrace, principalmente su infrastrutture AWS EC2. La scelta non è casuale: la piattaforma prende di mira daemon Docker esposti su Internet, una configurazione non predefinita ma spesso adottata da utenti che necessitano di gestire deployment complessi. L’attacco inizia con uno script Python ospitato su GitHub CodeSpaces, che funge da spreader per distribuire il malware. Successivamente, viene implementato un deployment multistadio Docker: gli attaccanti creano un container generico, installano al suo interno gli strumenti di attacco, lo trasformano in un’immagine e infine lo rilasciano come container live sulla macchina compromessa. Questa strategia ha un obiettivo preciso: ridurre gli artefatti forensi. Gli attaccanti non distribuiscono immagini precompilate ma costruiscono l’ambiente direttamente sul sistema della vittima, lasciando meno tracce di compromissione.
Il cuore della botnet: un binario Go con API RESTful
All’interno del container viene eseguito un binario ELF in Go, linguaggio sempre più diffuso nel malware moderno per la sua portabilità e performance. Questo componente agisce come un trojan di accesso remoto e comunica con il C2 attraverso un’architettura RESTful.
La logica è semplice ma efficace:
- ogni secondo il malware invia un heartbeat al server C2, identificandosi con un VPS_ID unico;
- ogni cinque secondi effettua un polling per verificare la presenza di nuovi comandi, che includono dettagli sugli attacchi da lanciare (metodo, target, durata, numero di thread, proxy opzionali).
Grazie a questa struttura, gli operatori possono gestire con precisione le campagne di attacco, assegnando parametri specifici e monitorando i risultati in tempo reale.
Tecniche avanzate di attacco
Uno degli elementi che rende ShadowV2 particolarmente pericolosa è l’adozione di tecniche DDoS avanzate, tipiche di servizi professionali piuttosto che di botnet improvvisate.
Tra le più rilevanti spiccano:
- il rapid reset HTTP/2, che sfrutta il multiplexing del protocollo per generare migliaia di richieste in una singola connessione, resettandole immediatamente per saturare le risorse del server;
- un bypass della modalità Under Attack di Cloudflare, ottenuto grazie all’integrazione di un browser headless (ChromeDP) capace di risolvere automaticamente le sfide JavaScript e di memorizzare i cookie clearance;
- flood HTTP su larga scala, implementati con la libreria fasthttp di Go, progettata per performance estreme.
Queste tecniche mostrano la capacità degli attaccanti di combinare denial-of-service distribuito ed exploit mirati, aumentando l’impatto degli attacchi e riducendo la probabilità di rilevamento.
Una piattaforma DDoS-as-a-service
Ciò che distingue ShadowV2 da altre botnet è la presenza di un’infrastruttura che replica in tutto e per tutto un servizio commerciale DDoS for hire. I ricercatori di Darktrace hanno intercettato la documentazione OpenAPI dell’infrastruttura, sviluppata con FastAPI e Pydantic, prima che venisse rimossa. Questa includeva endpoint per:
- la creazione e gestione degli utenti, con distinzione tra ruoli amministrativi e normali operatori;
- l’avvio degli attacchi, parametrizzabili con estrema granularità;
- la gestione di una blacklist di host non attaccabili, probabilmente per evitare danni collaterali o, in chiave criminale, per offrire “protezione” alle vittime in cambio di pagamento.
Il tutto è corredato da un pannello di login e da un’interfaccia grafica moderna sviluppata con Tailwind, completa di animazioni, che conferma la natura “commerciale” del servizio.
Indicatori di compromissione e attribuzione
L’infrastruttura di ShadowV2 è ospitata dietro Cloudflare, una scelta che oscura la posizione effettiva dei server e rende più difficile l’analisi. Tuttavia, Darktrace ha identificato numerosi indicatori di compromissione (IOC):
- dominio C2:
shadow.aurozacloud.xyz; - IP di origine degli spreader:
23.97.62.139e23.97.62.136, entrambi legati a Microsoft a Singapore; - hash SHA256 dei binari in Go, tra cui
2462467c89b4a62619d0b2957b21876dc4871db41b5d5fe230aa7ad107504c99.
La presenza di componenti su GitHub CodeSpaces e l’uso di infrastrutture cloud pubbliche sottolineano una tendenza sempre più marcata: gli attori criminali sfruttano servizi legittimi per aumentare la resilienza e ridurre i costi.
Implicazioni e difese
ShadowV2 non è solo una botnet, ma un vero e proprio framework criminale che sfrutta tecniche moderne di containerizzazione e API. Per i difensori, questo comporta nuove sfide:
- monitorare in profondità i workload cloud e le attività di orchestrazione dei container;
- adottare sistemi di analitica comportamentale per individuare usi sospetti delle API;
- rafforzare la protezione dei daemon Docker, che non dovrebbero mai essere esposti a Internet senza adeguati controlli.
La sofisticazione di ShadowV2 indica un passaggio netto verso un cybercrime industrializzato, in cui le piattaforme malevole replicano il funzionamento delle applicazioni SaaS legittime. La comparsa di ShadowV2 segna un punto di svolta nel panorama delle botnet. Non si tratta più di reti di dispositivi compromessi gestite con pannelli rudimentali, ma di una vera e propria piattaforma cloud-native che integra pratiche DevOps, API documentate e interfacce grafiche user-friendly. Darktrace sottolinea come la lotta a queste minacce richieda un cambio di paradigma: non basta più cercare indicatori tradizionali, ma occorre monitorare il comportamento dei sistemi con la stessa profondità con cui si analizzano le applicazioni legittime. ShadowV2 è la dimostrazione che il cybercrime-as-a-service ha raggiunto un livello di professionalizzazione mai visto prima, e rappresenta un avvertimento per il futuro della sicurezza informatica.
