Hệ thống săn tìm mối đe dọa toàn cầu của NSFOCUS Fuying Lab đã phát hiện một họ botnet mới có tên gọi hpingbot, đang có tốc độ mở rộng nhanh chóng kể từ tháng 6 năm 2025. Sự xuất hiện của hpingbot đánh dấu một sự thay đổi đáng kể trong bối cảnh an ninh mạng.
Tổng quan về hpingbot: Một Botnet Cross-Platform Mới
Hpingbot được xây dựng hoàn toàn từ đầu bằng ngôn ngữ lập trình Go, cho phép nó hoạt động trên nhiều nền tảng. Botnet này nhắm mục tiêu vào cả môi trường Windows và Linux/IoT, hỗ trợ đa dạng kiến trúc bộ xử lý bao gồm:
- amd64
- mips
- arm
- 80386
Không giống như các biến thể của các botnet nổi tiếng như Mirai hay Gafgyt, hpingbot thể hiện sự đổi mới đáng kể bằng cách tận dụng các tài nguyên phi truyền thống để tăng cường khả năng tàng hình và hiệu quả. Điển hình là việc sử dụng nền tảng lưu trữ văn bản trực tuyến Pastebin để phân phối payload và công cụ kiểm thử mạng hping3 để thực hiện các cuộc tấn công từ chối dịch vụ phân tán (DDoS).
Cách tiếp cận này không chỉ nâng cao khả năng né tránh phát hiện của botnet mà còn giảm đáng kể chi phí liên quan đến phát triển và vận hành, biến hpingbot thành một mối đe dọa đáng gờm và đang phát triển trong thế giới số.
Chiến lược Hoạt động Độc đáo
Chiến lược hoạt động của hpingbot nổi bật với việc sử dụng Pastebin để lưu trữ và cập nhật payload độc hại một cách linh hoạt. Điều này cho phép kẻ tấn công điều chỉnh việc phân phối payload thường xuyên. Dữ liệu giám sát từ Fuying Lab cho thấy các liên kết Pastebin được nhúng trong botnet đã thay đổi nội dung nhiều lần kể từ giữa tháng 6 năm 2025, từ việc lưu trữ địa chỉ IP cho đến cung cấp script để tải xuống các thành phần bổ sung.
Sự linh hoạt này đi kèm với việc botnet dựa vào hping3, một công cụ dòng lệnh đa năng thường được sử dụng cho chẩn đoán mạng, để khởi động nhiều loại tấn công DDoS như:
- SYN floods
- UDP floods
- Mixed-mode floods
Mặc dù phiên bản hpingbot trên Windows không thể tận dụng hping3 cho các cuộc tấn công DDoS do những hạn chế về môi trường, hoạt động liên tục của nó nhấn mạnh trọng tâm rộng hơn vào việc tải xuống và thực thi các payload tùy ý, ám chỉ những ý đồ vượt xa việc chỉ gây gián đoạn mạng. Tần suất thấp của các lệnh DDoS của botnet—chỉ vài trăm lệnh kể từ ngày 17 tháng 6, chủ yếu nhắm mục tiêu vào Đức, Hoa Kỳ và Thổ Nhĩ Kỳ—cũng cho thấy kẻ tấn công đang ưu tiên xây dựng hạ tầng cho các hoạt động độc hại tiếp theo.
Sự Phát triển và Mở rộng
Sự lặp lại nhanh chóng của hpingbot, với các bản cập nhật thường xuyên cho nội dung Pastebin, máy chủ Command and Control (C&C) và script cài đặt, cho thấy một đội ngũ phát triển chuyên nghiệp với các mục tiêu hoạt động dài hạn. Kể từ ngày 19 tháng 6 năm 2025, kẻ tấn công đã phân phối các thành phần DDoS bổ sung dựa trên Go thông qua các node hpingbot. Điều này cho thấy một chiến lược nhằm thay thế một phần botnet gốc hoặc mở rộng mạng lưới phân phối payload của nó. Sự hiện diện của thông tin debug bằng tiếng Đức trong các thành phần này cho thấy chúng đang trong giai đoạn thử nghiệm, tuy nhiên, sự tự tin của kẻ tấn công trong việc triển khai chúng trong môi trường thực phản ánh sự coi thường các biện pháp phòng thủ.
Cơ chế Duy trì và Che dấu
Hơn nữa, module lây lan SSH độc lập của hpingbot, các cơ chế duy trì quyền kiểm soát (persistence) thông qua Systemd, SysVinit và Cron, cùng với các kỹ thuật xóa dấu vết, tiết lộ một cách tiếp cận tinh vi để duy trì kiểm soát đối với các hệ thống bị xâm nhập.
Cơ chế duy trì bao gồm:
- Systemd: Tạo các dịch vụ mới để tự động khởi động khi hệ thống khởi động.
- SysVinit: Thiết lập các script khởi động truyền thống trên các hệ thống Linux/Unix cũ hơn.
- Cron: Lập lịch các tác vụ định kỳ để đảm bảo botnet luôn hoạt động hoặc tải lại các thành phần nếu bị gỡ bỏ.
Các kỹ thuật xóa dấu vết được sử dụng để loại bỏ bằng chứng về sự hiện diện của botnet, gây khó khăn cho việc phân tích và khắc phục.
Đánh giá Nguy cơ và Kết luận
Khi các botnet ngày càng phục vụ như những tiền đồn cho các nhóm APT (Advanced Persistent Threat) và các chiến dịch ransomware, tiềm năng của hpingbot trong việc phân phối các payload nguy hiểm hơn vẫn là một mối lo ngại lớn. Điều này đòi hỏi sự cảnh giác và giám sát liên tục từ cộng đồng an ninh mạng.
