Các nhà nghiên cứu an ninh mạng đã phát hiện ra một mạng botnet mới có tên Zergeca có khả năng thực hiện các cuộc tấn công từ chối dịch vụ (DDoS).

Được viết bằng ngôn ngữ Golang, botnet này được đặt tên như vậy vì nó liên quan đến một chuỗi ký tự có tên “ootheca” có trong các máy chủ điều khiển (C2) (“ootheca[.]pw” và “ootheca[.]top”).

Về mặt chức năng, Zergeca không chỉ là một botnet DDoS thông thường, ngoài việc thực hiện sáu phương pháp tấn công khác nhau, nó còn có khả năng tạo proxy, quét, tự nâng cấp, duy trì, truyền tệp, reverse shell và thu thập thông tin thiết bị nhạy cảm.

Zergeca cũng đáng chú ý sử dụng DNS-over-HTTPS (DoH) để thực hiện phân giải Hệ thống tên miền (DNS) của máy chủ C2 và sử dụng một thư viện ít được biết đến là Smux cho liên lạc C2.

Có bằng chứng cho thấy phần mềm độc hại đang phát triển mạnh mẽ và cập nhật phần mềm độc hại để hỗ trợ các lệnh mới. Hơn nữa, địa chỉ IP C2 84.54.51[.]82 được cho là đã từng được sử dụng để phân phối botnet Mirai vào khoảng tháng 9 năm 2023.

Tính đến ngày 29 tháng 4 năm 2025, cùng một địa chỉ IP đã bắt đầu được sử dụng làm máy chủ C2 cho mạng botnet mới, làm dấy lên khả năng rằng những kẻ tấn công đã “tích lũy kinh nghiệm vận hành mạng botnet Mirai trước khi tạo ra Zergeca”.

Các cuộc tấn công do botnet thực hiện, chủ yếu là các cuộc tấn công DDoS ACK flood , đã nhắm vào Canada, Đức và Hoa Kỳ từ đầu đến giữa tháng 6 năm 2024.

Các tính năng của Zergeca bao gồm bốn mô-đun riêng biệt, cụ thể là Persistence, proxy, silivaccine và zombie, Zergeca thiết lập persistence bằng cách thêm dịch vụ hệ thống, triển khai proxy, loại bỏ phần mềm độc hại khai thác và backdoor, giành quyền kiểm soát đối với các thiết bị chạy kiến ​​trúc CPU x86-64 và xử lý chức năng botnet chính.

Mô-đun zombie có trách nhiệm báo cáo thông tin nhạy cảm từ thiết bị bị xâm nhập đến C2 và chờ lệnh từ máy chủ, hỗ trợ sáu loại tấn công DDoS, quét, đảo ngược shell và các chức năng khác.

Nguồn: Theo Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam