Des chercheurs en cybersécurité ont découvert un nouveau botnet appelé Zergeca, capable de mener des attaques par déni de service distribué (DDoS).
Écrit en Golang, le botnet est ainsi nommé pour sa référence à une chaîne nommée « ootheca » présente dans les serveurs de commande et de contrôle (C2) (« ootheca[.]pw » et « oothèque[.]haut »).
« Sur le plan fonctionnel, Zergeca n’est pas simplement un botnet DDoS classique ; en plus de prendre en charge six méthodes d’attaque différentes, il dispose également de capacités de proxy, d’analyse, d’auto-mise à niveau, de persistance, de transfert de fichiers, de shell inversé et de collecte d’informations sensibles sur les appareils », a déclaré l’équipe QiAnXin XLab dit dans un rapport.
Zergeca est également connu pour utiliser DNS sur HTTPS (DoH) pour effectuer la résolution du système de noms de domaine (DNS) du serveur C2 et en utilisant une bibliothèque moins connue appelée Smux pour les communications C2.
Il existe des preuves suggérant que le logiciel malveillant se développe et se met à jour activement pour prendre en charge de nouvelles commandes. De plus, l’adresse IP C2 84.54.51[.]Il semblerait que le chiffre 82 ait déjà été utilisé pour distribuer le botnet Mirai vers septembre 2023.
Depuis le 29 avril 2025, la même adresse IP a commencé à être utilisée comme serveur C2 pour le nouveau botnet, ce qui soulève la possibilité que les acteurs de la menace « aient accumulé de l’expérience dans l’exploitation des botnets Mirai avant de créer Zergeca ».
Les attaques lancées par le botnet, principalement Attaques DDoS par inondation ACKont ciblé le Canada, l’Allemagne et les États-Unis entre début et mi-juin 2024.
Les fonctionnalités de Zergeca s’étendent sur quatre modules distincts, à savoir la persistance, le proxy, la silivaccine et le zombie, pour configurer la persistance en ajoutant un service système, en implémentant le proxy, en supprimant les logiciels malveillants concurrents des mineurs et des portes dérobées et en obtenant un contrôle exclusif sur les appareils exécutant l’architecture CPU x86-64, et en gérant la fonctionnalité principale du botnet.
Le module zombie est chargé de signaler les informations sensibles de l’appareil compromis au C2 et attend les commandes du serveur, prenant en charge six types d’attaques DDoS, l’analyse, le shell inversé et d’autres fonctions.
« La liste des concurrents intégrés montre une bonne connaissance des menaces Linux courantes », a déclaré XLab. « Des techniques telles que le packaging UPX modifié, le chiffrement XOR pour les chaînes sensibles et l’utilisation de DoH pour masquer la résolution C2 démontrent une bonne compréhension des tactiques d’évasion. »