Pesquisadores da NSFOCUS identificaram uma nova família de botnets chamada Hpingbot, desenvolvida do zero na linguagem Go. A ameaça é multiplataforma, com capacidade de operar em sistemas como Windows, Linux e dispositivos IoT, suportando arquiteturas como amd64, ARM, MIPS e 80386. Esse alcance permite infectar desde servidores até roteadores e câmeras IP.
Distribuição por Pastebin e execução via hping3
Diferente de outras botnets, o Hpingbot utiliza o Pastebin como canal de distribuição de payloads, hospedando comandos e scripts que são constantemente alterados para ocultar as atividades maliciosas. No ambiente Linux, o malware instala automaticamente o utilitário hping3 um programa legítimo via gerenciadores de pacotes como apt, yum ou pacman, e o utiliza para lançar ataques DDoS em diferentes formatos, como SYN, UDP e combinações híbridas.
Já na versão para Windows, a ausência do módulo DDoS é compensada pela capacidade de baixar e executar arquivos arbitrários, sugerindo um foco em persistência e possibilidade futura de carregamento de outros tipos de malware.
Persistência, modularidade e atualização contínua
O Hpingbot garante sua permanência no sistema utilizando diferentes mecanismos, como Systemd, SysVinit e cron no Linux. Ele ainda inclui um módulo de propagação via SSH, tentando invadir máquinas com credenciais fracas por força bruta. Desde sua identificação, a botnet já passou por mais de dez atualizações, incluindo mudanças na infraestrutura de comando e controle e nos arquivos hospedados, demonstrando uma operação ativa e profissional por trás de seu desenvolvimento.
DDoS ainda limitado, mas com foco estratégico
Embora o número de ataques DDoS registrados até o momento seja modesto, com algumas centenas de ocorrências, os alvos incluem países como Alemanha, Estados Unidos, Turquia e também o Brasil. Isso indica que os operadores do Hpingbot estão priorizando a construção de uma infraestrutura robusta antes de lançar campanhas em maior escala.
Risco de uso em campanhas APT ou ransomware
Por possuir capacidade de executar qualquer payload baixado remotamente, o Hpingbot pode evoluir rapidamente de uma ferramenta de DDoS para um vetor de ataques mais sofisticados, como campanhas de espionagem, ransomware ou ações coordenadas por grupos avançados. A flexibilidade da arquitetura e a capacidade de se adaptar a diferentes sistemas operacionais ampliam ainda mais esse risco.
Recomendações de segurança
- Monitorar o uso do utilitário hping3 em ambientes Linux, especialmente se instalado automaticamente.
- Reforçar a segurança de acessos SSH, evitando o uso de senhas padrão ou fracas.
- Restringir a comunicação com domínios públicos como Pastebin, quando possível, para reduzir o risco de download de scripts maliciosos.
- Isolar dispositivos IoT da rede corporativa sempre que possível.
- Investir em monitoramento comportamental e análise de tráfego de rede em tempo real para detectar comportamentos anômalos.
O Hpingbot representa um novo patamar na evolução das botnets. Multiplataforma, modular e furtiva, a ameaça combina persistência sofisticada com uso estratégico de ferramentas legítimas para evitar detecção. Apesar de seu uso atual estar focado em ataques DDoS pontuais, sua estrutura sugere potencial para ações mais amplas e perigosas.
Organizações que operam infraestruturas Linux, ambientes híbridos ou redes com dispositivos IoT devem revisar imediatamente suas políticas de segurança, com atenção especial à detecção precoce de ameaças silenciosas como o Hpingbot. A prevenção nesse estágio pode ser decisiva para evitar prejuízos maiores no futuro.
Siga o Itshow no LinkedIn e assine a nossa News para ficar por dentro de todas as notícias do setor de TI e Telecom!
