U sajberbezbjednosnom pejzažu pojavila se nova, sofisticirana porodica botneta koja demonstrira neviđene inovacije u dizajnu malvera i metodologijama napada.
Malver nazvan hpingbot, prvi put detektovan u junu 2025. godine, predstavlja značajan odmak od tradicionalnih arhitektura botneta. On koristi legitimne online servise i alate za mrežnu dijagnostiku za orkestriranje distribuiranih napada uskraćivanjem usluge (DDoS), istovremeno održavajući operativnu prikrivenost.
Za razliku od uobičajenih botneta koji obično potiču od procurelog izvornog koda poznatih porodica poput Mirai ili Gafgyt, hpingbot je potpuno originalna kreacija, razvijena od nule uz korišćenje programskog jezika Go.
Ova unakrsna platformska prijetnja cilja i Windows i Linux/IoT okruženja, sa varijantama kompilovanim za više arhitektura procesora, uključujući amd64, mips, arm i 80386.
Razvijači malvera pokazali su izuzetnu snalažljivost iskorištavanjem popularne platforme za dijeljenje teksta Pastebin za distribuciju tereta, te integrisanjem legitimnog alata za mrežnu dijagnostiku hping3 za pokretanje DDoS napada.
Globalni analitičari iz NSFOCUS-a identifikovali su operacije botneta putem svog Fuying Lab Global Threat Hunting sistema, otkrivajući da su napadači kontinuirano unapređivali i poboljšavali malver od njegove početne implementacije.
Akteri prijetnje odgovorni za hpingbot pokazali su poseban fokus na njemačke mete, iako su i Sjedinjene Američke Države i Turska također bile pogođene napadima.
Ono što ovaj botnet čini posebno zabrinjavajućim je njegov dvostruki dizajn – iako je sposoban za pokretanje različitih DDoS vektora napada, njegova primarna vrijednost leži u mogućnosti preuzimanja i izvršavanja proizvoljnih tereta, što ga pozicionira kao potencijalnu platformu za distribuciju opasnijeg malvera, uključujući ransomware ili komponente naprednih perzistentnih prijetnji (APT).
Sposobnosti napada botneta su opsežne, podržavajući preko deset različitih DDoS metoda, uključujući ACK FLOOD, TCP FLOOD, SYN FLOOD, UDP FLOOD, kao i sofisticirane mješovite napade.
Podaci nadzora ukazuju na to da su napadači od 17. juna 2025. godine izdali nekoliko stotina DDoS komandi, iako botnet ostaje uglavnom neaktivan između aktivnih kampanja, sugerišući strateško planiranje operacija umjesto kontinuiranih obrazaca napada.
Mehanizam isporuke tereta zasnovan na Pastebinu
Najinovativniji aspekt hpingbota leži u njegovom sofisticiranom sistemu isporuke tereta koji iskorištava legitimnu infrastrukturu Pastebina.
Malver u svoj binarni kod ugrađuje četiri fiksno kodirana Pastebin URL-a, stvarajući dinamički mehanizam komandovanja i upravljanja koji zaobilazi tradicionalne metode detekcije C2 (Command and Control).
Ovaj pristup omogućava napadačima da ažuriraju uputstva, distribuiraju nove terete i mijenjaju parametre napada bez direktne komunikacije sa zaraženim sistemima putem konvencionalnih kanala.
Proces isporuke tereta počinje kada hpingbot kontaktira svoje ugrađene Pastebin veze kako bi preuzeo ažurirana uputstva.
Ove veze često mijenjaju svoj sadržaj, u rasponu od jednostavnih IP adresa do složenih skriptova koji sadrže uputstva za preuzimanje dodatnih komponenti malvera.
Malver uključuje namjenski modul UPDATE koji obrađuje ova uputstva sa Pastebina, omogućavajući napadačima da daljinski guraju novu funkcionalnost ili u potpunosti zamijene postojeće komponente.
Ovaj sistem demonstrira izvanrednu svjesnost o operativnoj sigurnosti, jer napadači mogu brzo mijenjati svoju infrastrukturu, zadržavajući perzistentni pristup kompromitovanim sistemima putem sveprisutne platforme Pastebin.
Detaljnije objašnjenje upozorenja: Ova obavijest dolazi od kompanije NSFOCUS Global, poznate po svojim istraživanjima u oblasti sajberbezbjednosti. Objavljeno je na njihovoj web stranici, pružajući uvid u napredne tehnike koje koriste sajberkriminalci. Upozorenje je objavljeno kako bi se podigla svijest o novoj prijetnji i njenim potencijalnim posljedicama.
Kontekst i primjeri: Nova botnet porodica hpingbot predstavlja značajan razvoj u svijetu sajber napada. Njena inovativnost se ogleda u načinu na koji koristi legitimne platforme poput Pastebina za skrivanje i distribuciju zlonamjernog softvera, kao i u korišćenju alata poput hping3 za izvođenje DDoS napada. Ova strategija otežava otkrivanje jer se napadi maskiraju u legitimni mrežni saobraćaj. Prevaranti na ovaj način uspijevaju da zadrže kontrolu nad zaraženim sistemima i da ih iskoriste za širok spektar zlonamjernih aktivnosti, od DDoS napada do distribucije još opasnijeg malvera, poput ransomwarea. Njihova sposobnost da u hodu mijenjaju metode i isporučuju nove malver komponente čini ih posebno opasnim protivnikom.
Detalji incidenta: Iako članak ne navodi konkretan, pojedinačni primjer zloupotrebe od strane krajnjeg korisnika, opisuje se cjelokupna strategija napada. Hpingbot, kreiran u Go programskom jeziku, dizajniran je da bude visoko prilagodljiv i efikasan. Napadači koriste Pastebin kao centralnu tačku za upravljanje botnetom, gdje pohranjuju uputstva i nove verzije malvera. Kada bot zarazi sistem, on se povezuje na Pastebin linkove kako bi preuzeo ove podatke. Ovo omogućava napadačima da brzo ažuriraju svoje alate, da promijene mete napada ili da isporuče potpuno novi malver, kao što je, na primjer, ransomware koji može zaključati korisničke podatke i zahtijevati otkupninu. Zbog prikrivenosti i efikasnosti ovog metoda, korisnici nisu ni svjesni da su njihovi sistemi kompromitovani dok ne bude prekasno.
