Скрипты на Go, атаки в Германии и США. Ботнет нового поколения уже на вашей архитектуре.

Маленький кусочек текста — масштабные последствия для всего интернета.


3kdr0g3lm87yd776tdl3sn30xwzbm9fe.jpg


Новая ботнет-сеть под названием hpingbot, обнаруженная системой глобального отслеживания угроз NSFOCUS Fuying Lab, за считаные недели с начала июня 2025 года стала одной из самых заметных угроз в киберпространстве.

По данным специалистов, это полностью самостоятельная разработка, созданная с нуля на языке Go, которая способна работать как в среде Windows, так и на устройствах под управлением Linux и IoT-систем. Кроме того, она поддерживает множество процессорных архитектур, включая amd64, mips, arm и 80386.

В отличие от распространённых и хорошо известных сетей вроде Mirai или Gafgyt , hpingbot демонстрирует инновационный подход и использует нетрадиционные методы для сокрытия своей активности и повышения эффективности. В частности, злоумышленники применяют сервис хранения текстов Pastebin для доставки вредоносных компонентов, а также используют сетевой инструмент hping3 для организации DDoS-атак.

По информации из отчёта, такой способ работы позволяет не только значительно усложнить обнаружение ботнета, но и существенно сократить затраты на его поддержку и развитие. Всё это делает hpingbot одной из наиболее быстроразвивающихся и опасных угроз.

Специалисты отмечают, что с помощью Pastebin злоумышленники могут регулярно и динамически обновлять вредоносные файлы, что позволяет быстро адаптировать ботнет к изменяющимся условиям и целям. С середины июня 2025 года на Pastebin неоднократно менялось содержимое ссылок, связанных с ботнетом — от простого списка IP-адресов до скриптов для загрузки дополнительных компонентов.

Ключевым элементом атаки остаётся применение утилиты hping3 — обычно она используется для диагностики сетевых соединений, однако в данном случае её функционал используется для мощных DDoS-атак. Ботнет способен генерировать SYN-флуды, UDP-флуды и комбинированные атаки, что делает его опасным инструментом для вывода из строя целевых ресурсов.

Интересно, что версия hpingbot для Windows не может применять hping3 из-за особенностей операционной системы. Однако и в этом случае активность заражённых устройств не снижается — они продолжают загружать и выполнять произвольные вредоносные файлы, что указывает на более широкие задачи злоумышленников, выходящие за рамки простого сетевого саботажа.

По данным мониторинга Fuying Lab, с 17 июня зафиксировано всего несколько сотен команд на проведение DDoS-атак, причём большинство из них были направлены против объектов в Германии, США и Турции. Это свидетельствует о том, что основное внимание разработчиков hpingbot сосредоточено не на атаках, а на наращивании инфраструктуры для будущих, более масштабных операций.

Скорость развития hpingbot вызывает серьёзную тревогу. Сеть активно обновляется: регулярно меняются C2-серверы, ссылки на Pastebin, скрипты установки и вредоносные модули. Уже с 19 июня злоумышленники распространяют через узлы hpingbot дополнительные компоненты, написанные на Go, которые также предназначены для проведения DDoS-атак. Вероятно, это либо попытка обновить уже существующие элементы сети, либо расширение её функционала.

Примечательно, что в новых компонентах обнаружена отладочная информация на немецком языке, что может говорить о стадии тестирования этих инструментов. Однако их одновременное распространение в реальной среде показывает уверенность злоумышленников в своих разработках и пренебрежение мерами защиты.

Кроме того, специалисты выявили в составе hpingbot модуль для самостоятельного распространения через SSH, механизмы обеспечения постоянного присутствия в системе (с использованием Systemd, SysVinit и Cron), а также методы сокрытия следов присутствия. Это указывает на высокий уровень организации и подготовки разработчиков ботнета.

С учётом того, что современные ботнеты всё чаще становятся платформами для шпионских группировок и кампаний по распространению вымогательского ПО, потенциал hpingbot для дальнейшего распространения более опасных угроз вызывает серьёзные опасения. За ситуацией продолжает вестись пристальное наблюдение.