Nuevo botnet Zergeca basado en Golang capaz de poderosos ataques DDoS

Investigadores en ciberseguridad han identificado un nuevo botnet llamado Zergeca, que es capaz de llevar a cabo ataques distribuidos de denegación de servicio (DDoS).

Escrita en Golang, la botnet recibe su nombre de una cadena llamada «ootheca» presente en los servidores de comando y control (C2) («ootheca[.]pw» y «ootheca[.]top»).

El equipo de QiAnXin XLab informó que Zergeca, además de admitir seis métodos de ataque DDoS, también tiene capacidades de proxy, escaneo, autoactualización, persistencia, transferencia de archivos, shell inverso y recolección de información delicada del dispositivo.

Zergeca es notable por utilizar DNS sobre HTTPS (DoH) para la resolución del Sistema de Nombres de Dominio (DNS) del servidor C2, así como la biblioteca menos conocida conocida como Smux para las comunicaciones C2.

Existe evidencia que indica que el malware se está desarrollando y actualizando activamente para admitir nuevos comandos, y que la dirección IP del C2 84.54.51[.]82 se usó previamente para distribuir el botnet Mirai en septiembre de 2023.

A partir del 29 de abril de 2025, la misma dirección IP comenzó a utilizarse como servidor C2 para el nuevo botnet, lo que plantea la posibilidad de que los actores de amenazas hayan acumulado experiencia operando los botnets Mirai antes de crear Zergeca.

Los ataques realizados por el botnet, principalmente ataques de denegación de servicio por inundación de ACK, se han dirigido a Canadá, Alemania y los EE. UU. entre principios y mediados de junio de 2024.

Zergeca abarca cuatro módulos distintos, a saber, persistencia, proxy, silivaccine y zombie, para establecer la persistencia agregando un servicio del sistema, implementando proxy, eliminando mineros competidores y malware de puerta trasera y obteniendo control exclusivo sobre dispositivos que ejecutan la arquitectura de la CPU x86-64, y manejar la funcionalidad principal del botnet.

El módulo zombie es responsable de reportar información delicada desde el dispositivo comprometido al C2 y espera comandos del servidor, admitiendo seis tipos de ataques DDoS, escaneo, shell inverso y otras funciones.

El equipo de XLab menciona que «La lista de competidores incorporada muestra familiaridad con amenazas comunes de Linux», y que «Técnicas como el empaquetado UPX modificado, el cifrado XOR para cadenas sensibles y el uso de DoH para ocultar la resolución C2 demuestran una fuerte comprensión de tácticas de evasión».

Vía The Hacker News