Pesquisadores de segurança cibernética descobriram uma nova botnet chamada Zergeca, capaz de conduzir ataques distribuídos de negação de serviço (DDoS).
Escrito em Golang, o botnet é assim chamado por sua referência a uma string chamada “ootheca” presente nos servidores de comando e controle (C2) (“ootheca(.)pw” e “ootheca(.)high”).
“Funcionalmente, o Zergeca não é apenas um botnet DDoS típico; além de suportar seis métodos de ataque diferentes, ele também tem recursos de proxy, varredura, autoatualização, persistência, transferência de arquivos, shell reverso e coleta de informações confidenciais do dispositivo”, disse a equipe QiAnXin XLab em um relatório.
O Zergeca também é notável por usar DNS sobre HTTPS (DoH) para executar a resolução do Sistema de Nomes de Domínio (DNS) do servidor C2 e usar uma biblioteca menos conhecida, conhecida como Smux, para comunicações C2.
Há evidências que sugerem que o malware está ativamente desenvolvendo e atualizando o malware para suportar novos comandos. Além disso, o endereço IP C2 84.54.51(.)82 teria sido usado anteriormente para distribuir o botnet Mirai por volta de setembro de 2023.
Em 29 de abril de 2025, o mesmo endereço IP começou a ser usado como servidor C2 para a nova botnet, levantando a possibilidade de que os agentes da ameaça “acumularam experiência operando as botnets Mirai antes de criar o Zergeca”.
Ataques realizados pela botnet, principalmente ataques DDoS de inundação de ACK, tiveram como alvo o Canadá, a Alemanha e os EUA entre o início e meados de junho de 2024.
Os recursos do Zergeca abrangem quatro módulos distintos – persistência, proxy, silivaccine e zumbi – para configurar a persistência adicionando um serviço de sistema, implementando proxy, removendo malware de backdoor e mineradores concorrentes e obtendo controle exclusivo sobre dispositivos que executam a arquitetura de CPU x86-64 e lidam com a funcionalidade principal da botnet.
O módulo zumbi é responsável por reportar informações confidenciais do dispositivo comprometido ao C2 e aguarda comandos do servidor, suportando seis tipos de ataques DDoS, varredura, shell reverso e outras funções.
“A lista de concorrentes incorporada mostra familiaridade com ameaças comuns do Linux”, disse XLab. “Técnicas como empacotamento UPX modificado, criptografia XOR para strings sensíveis e uso de DoH para ocultar resolução C2 demonstram uma forte compreensão de táticas de evasão.”
