Zergeca: El monstruo DDoS de StarCraft ataca Linux

Investigadores del equipo de seguridad XLab recientemente descubrieron en el ciberespacio un nuevo botnet llamado Zergeca, que destaca por sus capacidades avanzadas y representa una seria amenaza para millones de dispositivos digitales. Zergeca no solo es capaz de llevar a cabo ataques DDoS, sino también de ejecutar múltiples funciones maliciosas.

El 20 de mayo de 2024, XLab registró un archivo ELF sospechoso en el directorio "/usr/bin/geomi" en la plataforma Linux de uno de sus clientes. Este archivo, comprimido con un UPX modificado, había permanecido indetectado por los programas antivirus durante mucho tiempo.

Tras el análisis, los investigadores descubrieron que se trataba de un botnet implementado en Golang. Dado que en su infraestructura C2 se utilizó la palabra "ootheca", que recuerda a los zergs de StarCraft, los especialistas de XLab nombraron al botnet Zergeca, resaltando su carácter agresivo y su rápida propagación.

Zergeca soporta seis métodos de ataque DDoS, además de funciones de proxy, escaneo, autoactualización, persistencia, transferencia de archivos, shell reversa y recolección de información confidencial.

Zergeca utiliza varios métodos de resolución DNS, incluyendo DNS sobre HTTPS (DOH). También se utiliza la biblioteca Smux para el protocolo C2, que proporciona cifrado mediante XOR. Esto permite que el botnet oculte efectivamente su actividad y complica su detección.

El análisis reveló que la dirección IP 84.54.51.82, utilizada para C2, ha estado albergando dos botnets Mirai desde septiembre de 2023, lo que indica la experiencia acumulada de sus creadores. Los principales métodos de propagación de Zergeca incluyen la explotación de contraseñas débiles de Telnet y vulnerabilidades CVE-2022-35733 y CVE-2018-10562 .

Desde principios de junio de 2024, Zergeca ha estado apuntando a Canadá, EE. UU. y Alemania. El principal tipo de ataque fue ackFlood (atk_4), y las víctimas fueron varios sistemas autónomos (ASN). Zergeca opera en la arquitectura x86-64 y está dirigido a la plataforma Linux, aunque en el código del botnet también se han encontrado menciones de Android y Windows, lo que sugiere escenarios futuros para el desarrollo del malware.

Zergeca logra persistencia en dispositivos comprometidos añadiendo el servicio del sistema "geomi.service", lo que asegura el arranque automático del proceso tras el reinicio del dispositivo. Para el cifrado de cadenas se utiliza XOR con una clave codificada fijamente.

El botnet incluye un módulo Silivaccine, que elimina amenazas competidoras, como mineros y troyanos, asegurando un monopolio en el dispositivo infectado y el uso de su máximo rendimiento.

El descubrimiento de Zergeca demuestra la continua evolución y complejidad de los botnets. Con sus funciones avanzadas, garantía de persistencia y flexibilidad, Zergeca representa una seria amenaza. Los expertos en ciberseguridad deben permanecer vigilantes y tomar medidas proactivas para identificar y mitigar tales amenazas.