Il panorama della sicurezza informatica è stato recentemente scosso dalla scoperta di una nuova botnet denominata ShadowV2, una minaccia in grado di offrire servizi DDoS-for-hire sfruttando vulnerabilità su container Docker mal configurati all’interno di server cloud Amazon Web Services (AWS). ShadowV2 si distingue per l’adozione di un malware scritto in Go che trasforma i sistemi infettati in nodi di attacco, coordinati da una struttura di comando e controllo (C2) realizzata in Python e ospitata su piattaforme come GitHub Codespaces.

Tecniche avanzate e modalità di attacco

Questa botnet si caratterizza per l’utilizzo di tecniche molto avanzate. Gli attaccanti impiegano, tra le altre cose, il metodo HTTP/2 Rapid Reset, il bypass del Cloudflare Under Attack Mode e potenti ondate di HTTP flood, dimostrando la capacità di combinare diverse strategie DDoS con exploit mirati. L’elemento innovativo della campagna risiede nel modulo spreader in Python che compromette i daemon Docker, soprattutto quelli attivi su AWS EC2, mentre il trojan Go-based consente l’esecuzione di comandi e la comunicazione tramite protocollo HTTP.

Procedura di compromissione e persistenza

A differenza di molte campagne simili, ShadowV2 non si limita a scaricare immagini Docker personalizzate, ma avvia un container generico Ubuntu e installa gli strumenti necessari al suo interno. Successivamente, da questa configurazione viene creato e lanciato il vero container malevolo. Secondo gli analisti, questa procedura potrebbe essere stata scelta per ridurre la presenza di tracce forensi sul sistema vittima.

Comunicazione, evasione e funzionalità C2

Il malware si connette regolarmente al server C2 per inviare segnali di heartbeat e ricevere nuovi comandi. Include inoltre funzioni per attacchi HTTP/2 Rapid Reset e per eludere le protezioni Cloudflare, ad esempio risolvendo le sfide JavaScript attraverso strumenti come ChromeDP, anche se la riuscita di tale bypass non è garantita per via dei controlli anti-bot sui browser headless.

Gestione e modularità della piattaforma

L’infrastruttura C2 sfrutta FastAPI e Pydantic, offrendo una interfaccia gestionale avanzata: gli operatori possono gestire utenti, configurare i tipi di attacco, definire endpoint da colpire ed escludere specifici siti. Questa modularità e la ricca API evidenziano come ShadowV2 sia pensata come piattaforma “cybercrime-as-a-service”, confermando la crescente sofisticazione delle minacce cloud.

Implicazioni e rischi per il cloud

Il contesto di ShadowV2 si inserisce in una fase storica in cui botnet sempre più potenti sfruttano vulnerabilità note per lanciare attacchi senza precedenti contro sistemi esposti su Internet, con record di traffico DDoS ormai superiori ai 20 terabit al secondo. La difesa delle infrastrutture cloud e la corretta configurazione di Docker rimangono oggi più che mai prioritarie.