L’uso di Golang, di componenti open-source riutilizzabili, di infrastrutture standard e dell’automazione ha ridotto drasticamente lo sforzo necessario per creare malware DDoS funzionali

attacchi informatici malware hacker Golang pexel
Botnet derivate da Mirai continuano a dominare lo scenario delle minacce IoT, ma il cambiamento più significativo risiede nella rapidità con cui oggi è possibile sviluppare e distribuire nuove varianti. L’uso di Golang, di componenti open-source riutilizzabili, di infrastrutture standard e dell’automazione ha ridotto drasticamente lo sforzo necessario per creare malware DDoS funzionali, consentendo agli attori delle minacce di assemblare e perfezionare le botnet con velocità sempre maggiore.
I Nozomi Network Labs hanno esaminato due campioni di malware basati su Golang individuati sul campo la scorsa primavera, Apex2 e c2c/meow, che illustrano questa tendenza da due diverse prospettive. Mentre Apex2 rappresenta l’evoluzione più strutturata di una botnet esistente che prende di mira sia macchine Windows che Linux, c2c dimostra come componenti relativamente semplici possano essere combinati per dare vita a una campagna operativa di successo. In entrambi i casi, il focus della minaccia non è posto sulla sofisticazione, bensì su velocità, riutilizzo e scalabilità.
Per i difensori, l’implicazione è evidente: i metodi di rilevamento e risposta devono tenere il passo con cicli di sviluppo del malware e di weaponization degli exploit sempre più rapidi. Le organizzazioni devono aspettarsi un flusso costante di botnet semplici ma efficaci pronte a colpire sistemi Linux e IoT esposti, in particolare dove persistono credenziali deboli, servizi aperti su Internet e una visibilità limitata sul traffico in uscita. Tecniche di analisi scalabili, che includano automazione, machine learning e modelli linguistici di grandi dimensioni (LLM), stanno diventando essenziali per classificare grandi volumi di campioni, identificare le deviazioni dalle famiglie note e tradurre rapidamente l’analisi in regole di rilevamento azionabili.
La passata primavera ha registrato una nuova ondata di malware IoT mirata a colpire i dispositivi esposti per riconvertirli in strumenti per attività DDoS. Assistiti dall’intelligenza artificiale, i sistemi di monitoraggio e ricerca di Nozomi Networks esaminano le attività degli honeypot per evidenziare i campioni che si differenziano dalla quantità di varianti simili a Mirai già tracciate. Sono emerse due famiglie sviluppate su Golang che illustrano questa tendenza generale: gli aggressori creano botnet funzionali più rapidamente, mentre i difensori hanno bisogno di metodi scalabili per scovare i campioni anomali, comprendere cosa sia cambiato e tradurre tali scoperte in flussi di lavoro ripetibili di rilevamento e risposta.
Di Nozomi Networks Labs