Botnet derivate da Mirai continuano a dominare lo scenario delle minacce IoT, ma il cambiamento più significativo risiede nella rapidità con cui oggi è possibile sviluppare e distribuire nuove varianti. L’uso di Golang, di componenti open-source riutilizzabili, di infrastrutture standard e dell’automazione ha ridotto drasticamente lo sforzo necessario per creare malware DDoS funzionali, consentendo agli attori delle minacce di assemblare e perfezionare le botnet con velocità sempre maggiore.
I Nozomi Network Labs hanno esaminato due campioni di malware basati su Golang individuati sul campo la scorsa primavera, Apex2 e c2c/meow, che illustrano questa tendenza da due diverse prospettive. Mentre Apex2 rappresenta l’evoluzione più strutturata di una botnet esistente che prende di mira sia macchine Windows che Linux, c2c dimostra come componenti relativamente semplici possano essere combinati per dare vita a una campagna operativa di successo. In entrambi i casi, il focus della minaccia non è posto sulla sofisticazione, bensì su velocità, riutilizzo e scalabilità.
Per i difensori, l’implicazione è evidente: i metodi di rilevamento e risposta devono tenere il passo con cicli di sviluppo del malware e di weaponization degli exploit sempre più rapidi. Le organizzazioni devono aspettarsi un flusso costante di botnet semplici ma efficaci pronte a colpire sistemi Linux e IoT esposti, in particolare dove persistono credenziali deboli, servizi aperti su Internet e una visibilità limitata sul traffico in uscita. Tecniche di analisi scalabili, che includano automazione, machine learning e modelli linguistici di grandi dimensioni (LLM), stanno diventando essenziali per classificare grandi volumi di campioni, identificare le deviazioni dalle famiglie note e tradurre rapidamente l’analisi in regole di rilevamento azionabili.
La passata primavera ha registrato una nuova ondata di malware IoT mirata a colpire i dispositivi esposti per riconvertirli in strumenti per attività DDoS. Assistiti dall’intelligenza artificiale, i sistemi di monitoraggio e ricerca di Nozomi Networks esaminano le attività degli honeypot per evidenziare i campioni che si differenziano dalla quantità di varianti simili a Mirai già tracciate. Sono emerse due famiglie sviluppate su Golang che illustrano questa tendenza generale: gli aggressori creano botnet funzionali più rapidamente, mentre i difensori hanno bisogno di metodi scalabili per scovare i campioni anomali, comprendere cosa sia cambiato e tradurre tali scoperte in flussi di lavoro ripetibili di rilevamento e risposta.
Apex2: una botnet IoT in costante evoluzione
Tra i campioni ricevuti quotidianamente, ne è emerso uno che, al momento del rilevamento, si differenziava a sufficienza dalle famiglie già monitorate. Una volta ottenuto il campione, identificarlo come Apex2 è stato semplice. Al di là del nome, le somiglianze strutturali tra Apex e questo campione indicano che Apex2 è un’evoluzione diretta del suo predecessore.
c2c/meow: un flooder generico in Golang
Il sistema di machine learning ha avvisato della presenza di un altro malware basato su Golang che aveva raggiunto uno degli honeypot SSH. All’epoca, il campione non presentava rilevamenti di nocività su VirusTotal, motivo per cui è stato necessario approfondire l’indagine.
Rispetto ad Apex2, questo malware si presenta come una botnet autonoma più semplice. Invece di ricorrere a tecniche di evasione avanzate o a infrastrutture complesse, i suoi operatori hanno unito uno scanner, una logica C2 di base, meccanismi di persistenza e moduli di flooding configurabili all’interno di una campagna attiva.
In sostanza, Apex2 e c2c/meow mostrano due facce di una stessa medaglia: lo sviluppo di botnet IoT sta diventando più rapido, modulare e facile da rendere operativo. Apex2 riflette l’evoluzione più strutturata di una botnet esistente, mentre c2c/meow dimostra come componenti più semplici possano comunque essere assemblati in una campagna efficace quando vi è disponibilità di servizi esposti e credenziali deboli.
La lezione fondamentale per chi si occupa di difesa è che la sofisticazione non è l’unico parametro di valutazione del rischio. Anche un malware relativamente semplice può avere un impatto significativo quando viene distribuito su larga scala. Di conseguenza, le organizzazioni dovrebbero combinare analisi automatizzata, rilevamento comportamentale, igiene delle credenziali e riduzione dell’esposizione per tenere il passo con il volume e la velocità dei nuovi malware per Linux e IoT.


