Los investigadores de ciberseguridad están llamando la atención sobre un nuevo malware de Botnet llamado Httpbot Eso se ha utilizado para destacar principalmente la industria del juego, así como a las empresas de tecnología e instituciones educativas en China.
«En los últimos meses, se ha expandido agresivamente, aprovechando continuamente dispositivos infectados para lanzar ataques externos», dijo NSFocus en un informe publicado esta semana. «Al emplear ataques de inundación HTTP altamente simulados y técnicas de ofuscación de características dinámicas, elude los mecanismos tradicionales de detección basados en reglas».
Httpbot, vistos por primera vez en la naturaleza en agosto de 2024, obtiene su nombre del uso de protocolos HTTP para lanzar ataques distribuidos de denegación de servicio. Escrito en Golang, es una anomalía dada su objetivo de los sistemas de Windows.
El troyano Botnet basado en Windows es notable por su uso en ataques con precisión dirigidos dirigidos a interfaces comerciales de alto valor, como los sistemas de inicio de sesión y de pago de juegos.
«Este ataque con precisión ‘como el bisturí’ plantea una amenaza sistémica para las industrias que dependen de la interacción en tiempo real», dijo la compañía con sede en Beijing. «Httpbot marca un cambio de paradigma en los ataques DDoS, pasando de la ‘supresión del tráfico indiscriminado’ a ‘estrangulamiento comercial de alta precisión'».
Se estima que HTTPBOT emitió no menos de 200 instrucciones de ataque desde principios de abril de 2025, con los ataques diseñados para atacar la industria del juego, las empresas de tecnología, las instituciones educativas y los portales de turismo en China.
Una vez instalado y ejecutado, el malware oculta su interfaz gráfica de usuario (GUI) para evitar el monitoreo de procesos por parte de los usuarios y las herramientas de seguridad en un esfuerzo por aumentar el sigilo de los ataques. También recurre a la manipulación no autorizada del registro de Windows para garantizar que se ejecute automáticamente en el inicio del sistema.
El malware Botnet luego procede a establecer el contacto con un servidor de comando y control (C2) para esperar más instrucciones para ejecutar ataques de inundación HTTP contra objetivos específicos enviando un alto volumen de solicitudes HTTP. Admite varios módulos de ataque –
- BrowserAttack, que implica el uso de instancias ocultas de Google Chrome para imitar el tráfico legítimo mientras agota los recursos del servidor
- Httpautoattack, que utiliza un enfoque basado en cookies para simular con precisión las sesiones legítimas
- Httpfpdlattack, que utiliza el protocolo HTTP/2 y opta por un enfoque que busca aumentar el cargador CPU en el servidor coaccionando para devolver respuestas grandes
- WebSocketAttack, que utiliza protocolos «ws: //» y «wss: //» para establecer conexiones WebSocket
- PostAttack, que obliga al uso de HTTP Post para realizar el ataque
- CookieatTack, que agrega un flujo de procesamiento de cookies basado en el método de ataque de BrowserAttack
«Las familias DDOS Botnet tienden a congregarse en plataformas Linux e IoT», dijo NSFOCUS. «Sin embargo, la familia Httpbot Botnet ha dirigido específicamente a la plataforma Windows».
«Al simular profundamente las capas de protocolo e imitar el comportamiento legítimo del navegador, Httpbot omite las defensas que dependen de la integridad del protocolo. También ocupa continuamente los recursos de la sesión del servidor a través de rutas de URL aleatorias y mecanismos de reposición de cookies, en lugar de depender del volumen de tráfico Sheer».
