Los investigadores de ciberseguridad han descubierto una nueva botnet llamada Zergeca que es capaz de realizar ataques distribuidos de denegación de servicio (DDoS).
Escrito en Golang, el botnet recibe ese nombre por su referencia a una cadena llamada «ootheca» presente en los servidores de comando y control (C2) («ootheca[.]pw» y «ooteca»[.]arriba»).
«Funcionalmente, Zergeca no es solo una botnet DDoS típica; además de admitir seis métodos de ataque diferentes, también tiene capacidades de proxy, escaneo, actualización automática, persistencia, transferencia de archivos, shell inverso y recopilación de información confidencial del dispositivo», dijo el equipo de QiAnXin XLab. dicho en un informe.
Zergeca también se destaca por usar DNS sobre HTTPS (Departamento de Salud) para realizar la resolución del Sistema de nombres de dominio (DNS) del servidor C2 y utilizar una biblioteca menos conocida llamada Succión para comunicaciones C2.
Hay evidencia que sugiere que el malware se está desarrollando y actualizando activamente para admitir nuevos comandos. Además, la dirección IP del C2 es 84.54.51[.]Se dice que 82 se utilizó anteriormente para distribuir la botnet Mirai alrededor de septiembre de 2023.
A partir del 29 de abril de 2025, la misma dirección IP comenzó a usarse como servidor C2 para la nueva botnet, lo que plantea la posibilidad de que los actores de amenazas «acumularan experiencia operando las botnets Mirai antes de crear Zergeca».
Los ataques realizados por la botnet, principalmente Ataques DDoS con inundación de ACKhan apuntado a Canadá, Alemania y Estados Unidos entre principios y mediados de junio de 2024.
Las características de Zergeca abarcan cuatro módulos distintos, a saber, persistencia, proxy, silivaccine y zombie, para configurar la persistencia agregando un servicio de sistema, implementando proxy, eliminando malware minero y de puerta trasera de la competencia y obteniendo control exclusivo sobre los dispositivos que ejecutan la arquitectura de CPU x86-64 y manejando la funcionalidad principal de la botnet.
El módulo zombie es responsable de reportar información confidencial del dispositivo comprometido al C2 y espera comandos del servidor, soportando seis tipos de ataques DDoS, escaneo, shell inverso y otras funciones.
«La lista de competidores incorporada muestra familiaridad con las amenazas comunes de Linux», dijo XLab. «Técnicas como el empaquetado UPX modificado, el cifrado XOR para cadenas sensibles y el uso de DoH para ocultar la resolución C2 demuestran una sólida comprensión de las tácticas de evasión».