Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Hpingbot 2025: новое поколение кроссплатформенных ботнетов на Go

3 мин
В июне 2025 года исследовательская лаборатория NSFOCUS обнаружила новое семейство ботнетов — Hpingbot. Разработанный преимущественно на языке Go, этот кроссплатформенный ботнет поражает своей универсальностью и инновационным подходом в области киберугроз. Он способен работать на различных операционных системах — Windows и Linux/IoT, поддерживая множество процессорных архитектур, включая amd64, mips, arm и 80386. В условиях доступности исходного кода известных ботнетов и инструментов искусственного интеллекта, коммуникация среди злоумышленников стала проще, что привело к росту новых семейств вредоносного ПО. В этом контексте hpingbot выделяется своей уникальной архитектурой. В отличие от адаптаций Mirai и Gafgyt, он использует ряд инновационных подходов: Интересно, что hpingbot демонстрирует тенденцию оставаться бездействующим большую часть времени и выполняет ограниченный набор команд для DDoS-атак. Основные цели при этом находятся в Германии, США и Турции. Особое внимание привлекает ф
Оглавление
Источник: nsfocusglobal.com
Источник: nsfocusglobal.com

Новый ботнет Hpingbot: обзор архитектуры и тактики эксплуатации

В июне 2025 года исследовательская лаборатория NSFOCUS обнаружила новое семейство ботнетов — Hpingbot. Разработанный преимущественно на языке Go, этот кроссплатформенный ботнет поражает своей универсальностью и инновационным подходом в области киберугроз. Он способен работать на различных операционных системах — Windows и Linux/IoT, поддерживая множество процессорных архитектур, включая amd64, mips, arm и 80386.

Уникальная архитектура и методы работы

В условиях доступности исходного кода известных ботнетов и инструментов искусственного интеллекта, коммуникация среди злоумышленников стала проще, что привело к росту новых семейств вредоносного ПО. В этом контексте hpingbot выделяется своей уникальной архитектурой. В отличие от адаптаций Mirai и Gafgyt, он использует ряд инновационных подходов:

  • _Использование Pastebin_ для распределения полезной нагрузки;
  • _Интеграция инструмента hping3_ для проведения различных видов DDoS-атак;
  • Поддержка широкого спектра платформ и архитектур, позволяющая охватить разнообразные устройства;
  • Независимый модуль распространения через SSH с использованием слабых паролей.

Особенности операционного поведения

Интересно, что hpingbot демонстрирует тенденцию оставаться бездействующим большую часть времени и выполняет ограниченный набор команд для DDoS-атак. Основные цели при этом находятся в Германии, США и Турции. Особое внимание привлекает факт, что одним из первых IP-адресов для атаки стал адрес, связанный с инструментом мониторинга NetData с открытым исходным кодом. Такое явление свидетельствует о том, что тестирование DDoS-возможностей встроено непосредственно в рабочий процесс разработки ботнета.

Версия hpingbot для Windows отличается тем, что не использует напрямую hping3 для атак, однако демонстрирует высокую активность. Это позволяет предположить, что злоумышленники уделяют больше внимания загрузке и выполнению произвольных вредоносных компонентов, а не только DDoS-атакам.

Развитие функционала и новые компоненты

С середины июня 2025 года наблюдается заметное расширение функциональности hpingbot. Злоумышленники начали распространять дополнительный компонент, также разработанный на Go, предназначенный для DDoS-атак. Отличительными особенностями нового модуля являются:

  • Отсутствие интеграции с Pastebin и инструментом hping3;
  • Наличие отладочной информации, указывающей на стадию тестирования;
  • Реализация защиты от UDP и TCP flooding;
  • Возможность работы в качестве замены или дополнения к оригинальному ботнету.

Подобная двойственная функциональность подчеркивает роль hpingbot не только как инструмента DDoS-атак, но и посредника в более масштабных операциях, включая доставку APT-компонентов и программ-вымогателей.

Методы распространения и технические детали

Распространение hpingbot происходит главным образом через подбор слабых паролей SSH. Модуль распространения работает автономно от основного ботнета, что повышает безопасность и скрытность операций, позволяя злоумышленникам сохранять контроль без риска раскрытия ключевых деталей.

Все технические стратегии hpingbot тесно связаны с этапами платформы MITRE ATT&CK:

  • Использование Pastebin для хранения и распределения полезной нагрузки;
  • Эксплуатация системных служб для сохранения и запуска компонентов;
  • Исполнение задач с помощью shell-скриптов;
  • Модуль DDoS управляет hping3 посредством упрощённого текстового формата, обеспечивая гибкость конфигурации различных видов атак.

Выводы

И хотя первоочередное назначение hpingbot — проведение DDoS-атак, анализ архитектуры демонстрирует особое внимание разработчиков к возможностям выполнения произвольной полезной нагрузки. Особенность Windows-версии лишний раз подтверждает, что потенциал вредоносного ПО выходит далеко за рамки классических ударных атак, открывая перспективы для более сложных сценариев взлома и распространения вредоносного кода.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Hpingbot 2025: новое поколение кроссплатформенных ботнетов на Go".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Гаджеты и электроника
5,73 млн интересуются