Un nuevo tipo de botnet ha sido identificado por los investigadores de NSFOCUS, y su peligrosidad no reside en su volumen de ataques, sino en su precisión. Se trata de HTTPBot, una amenaza emergente escrita en Golang que ha desplegado más de 200 ataques DDoS dirigidos desde abril contra plataformas de videojuegos, compañías tecnológicas y centros educativos. Su modus operandi se aleja de las campañas masivas tradicionales: HTTPBot asfixia procesos críticos como accesos, pagos o comunicación en tiempo real, sin levantar sospechas en los sistemas defensivos clásicos.
Windows, el objetivo inusual
Lo que diferencia a HTTPBot de otras botnets DDoS es su foco exclusivo en sistemas Windows, una rareza en un entorno dominado por botnets basadas en Linux o dispositivos IoT. Una vez instalado en el sistema, oculta su interfaz gráfica y persiste mediante el registro del sistema (HKLM…\Run), garantizando su ejecución al reiniciar el equipo.
Tras el inicio, el malware se comunica con su servidor de mando y control para recibir instrucciones codificadas, incluyendo el tipo de ataque, duración, número de hilos y cabeceras HTTP manipuladas.
Ataques diseñados para parecer humanos
HTTPBot incorpora siete módulos de ataque basados en HTTP, entre los que se incluyen:
- BrowserAttack: inicia procesos de navegador Chrome simulando tráfico de usuario real.
- HttpAutoAttack y HttpFpDlAttack: manipulan cookies, cabeceras y protocolos como HTTP/2 para saturar recursos del servidor.
- WebSocketAttack, PostAttack y CookieAttack: ajustan rutas dinámicas, cabeceras y autenticación con cookies para esquivar sistemas anti-DDoS.
En lugar de inundar el ancho de banda, estas técnicas estrangulan servicios clave mediante tráfico bajo pero muy realista, haciendo difícil su detección con soluciones basadas en volumen o firmas.
La botnet evoluciona
Desde su detección inicial en agosto de 2024, HTTPBot ha evolucionado rápidamente. Su arquitectura modular y su capacidad de modificar dinámicamente rutas, cabeceras, cookies y tasas de petición ha permitido evadir la mayoría de los mecanismos de defensa tradicionales.
El malware utiliza identificadores únicos para cada ataque, lo que permite una orquestación precisa y controlada desde su servidor de mando y control. Incluso ajusta su ritmo de ataque según las respuestas del servidor (por ejemplo, ante códigos HTTP 429 o 405), introduciendo pausas para parecer tráfico legítimo.
¿Qué empresas han sido blanco?
Según NSFOCUS, más de 80 objetivos únicos han sido atacados por HTTPBot en las últimas semanas. Aunque la mayoría se encuentran en China, entre ellos se incluyen:
- Plataformas de videojuegos como Douyou, Youxidui y 9k9k.
- Empresas tecnológicas como Entropy Technology y Shangzhong Online.
- Instituciones educativas como Beijing Zhongjing Tongji.
- Webs de destinos turísticos, como Guanting Forest Sea.
Los ataques suelen repetirse por oleadas sobre el mismo objetivo, lo que indica una planificación meticulosa.
El reto para las defensas
La sofisticación de HTTPBot está marcando un cambio de paradigma en los ataques DDoS: del enfoque masivo a un DDoS de capa 7 (nivel aplicación), diseñado para colapsar funciones críticas con tráfico que imita perfectamente al usuario.
Esto obliga a las defensas a evolucionar hacia modelos basados en comportamiento y elasticidad, ya que los filtros basados en reglas estáticas y patrones conocidos resultan ineficaces frente a ataques tan dinámicos.
En resumen
HTTPBot representa una nueva generación de amenazas que prioriza la precisión sobre el volumen. Su capacidad para camuflarse como tráfico legítimo, adaptarse al entorno y atacar puntos neurálgicos del negocio digital (como login, pagos o APIs) lo convierte en una amenaza especialmente preocupante para sectores como el gaming y los servicios online.
Con más de 200 ataques documentados en menos de dos meses, su evolución y expansión podrían ser solo el inicio de una nueva ola de ciberamenazas basadas en ingeniería avanzada del tráfico HTTP.
Fuentes:
