Скрипты на Go, атаки в Германии и США. Ботнет нового поколения уже на вашей архитектуре.
NewsMakerМаленький кусочек текста — масштабные последствия для всего интернета.
Новая ботнет-сеть под названием hpingbot, обнаруженная системой глобального отслеживания угроз NSFOCUS Fuying Lab, за считаные недели с начала июня 2025 года стала одной из самых заметных угроз в киберпространстве.
По данным специалистов, это полностью самостоятельная разработка, созданная с нуля на языке Go, которая способна работать как в среде Windows, так и на устройствах под управлением Linux и IoT-систем. Кроме того, она поддерживает множество процессорных архитектур, включая amd64, mips, arm и 80386.
В отличие от распространённых и хорошо известных сетей вроде Mirai или Gafgyt , hpingbot демонстрирует инновационный подход и использует нетрадиционные методы для сокрытия своей активности и повышения эффективности. В частности, злоумышленники применяют сервис хранения текстов Pastebin для доставки вредоносных компонентов, а также используют сетевой инструмент hping3 для организации DDoS-атак.
По информации из отчёта, такой способ работы позволяет не только значительно усложнить обнаружение ботнета, но и существенно сократить затраты на его поддержку и развитие. Всё это делает hpingbot одной из наиболее быстроразвивающихся и опасных угроз.
Специалисты отмечают, что с помощью Pastebin злоумышленники могут регулярно и динамически обновлять вредоносные файлы, что позволяет быстро адаптировать ботнет к изменяющимся условиям и целям. С середины июня 2025 года на Pastebin неоднократно менялось содержимое ссылок, связанных с ботнетом — от простого списка IP-адресов до скриптов для загрузки дополнительных компонентов.
Ключевым элементом атаки остаётся применение утилиты hping3 — обычно она используется для диагностики сетевых соединений, однако в данном случае её функционал используется для мощных DDoS-атак. Ботнет способен генерировать SYN-флуды, UDP-флуды и комбинированные атаки, что делает его опасным инструментом для вывода из строя целевых ресурсов.
Интересно, что версия hpingbot для Windows не может применять hping3 из-за особенностей операционной системы. Однако и в этом случае активность заражённых устройств не снижается — они продолжают загружать и выполнять произвольные вредоносные файлы, что указывает на более широкие задачи злоумышленников, выходящие за рамки простого сетевого саботажа.
По данным мониторинга Fuying Lab, с 17 июня зафиксировано всего несколько сотен команд на проведение DDoS-атак, причём большинство из них были направлены против объектов в Германии, США и Турции. Это свидетельствует о том, что основное внимание разработчиков hpingbot сосредоточено не на атаках, а на наращивании инфраструктуры для будущих, более масштабных операций.
Скорость развития hpingbot вызывает серьёзную тревогу. Сеть активно обновляется: регулярно меняются C2-серверы, ссылки на Pastebin, скрипты установки и вредоносные модули. Уже с 19 июня злоумышленники распространяют через узлы hpingbot дополнительные компоненты, написанные на Go, которые также предназначены для проведения DDoS-атак. Вероятно, это либо попытка обновить уже существующие элементы сети, либо расширение её функционала.
Примечательно, что в новых компонентах обнаружена отладочная информация на немецком языке, что может говорить о стадии тестирования этих инструментов. Однако их одновременное распространение в реальной среде показывает уверенность злоумышленников в своих разработках и пренебрежение мерами защиты.
Кроме того, специалисты выявили в составе hpingbot модуль для самостоятельного распространения через SSH, механизмы обеспечения постоянного присутствия в системе (с использованием Systemd, SysVinit и Cron), а также методы сокрытия следов присутствия. Это указывает на высокий уровень организации и подготовки разработчиков ботнета.
С учётом того, что современные ботнеты всё чаще становятся платформами для шпионских группировок и кампаний по распространению вымогательского ПО, потенциал hpingbot для дальнейшего распространения более опасных угроз вызывает серьёзные опасения. За ситуацией продолжает вестись пристальное наблюдение.
Новая ботнет-сеть под названием hpingbot, обнаруженная системой глобального отслеживания угроз NSFOCUS Fuying Lab, за считаные недели с начала июня 2025 года стала одной из самых заметных угроз в киберпространстве.
По данным специалистов, это полностью самостоятельная разработка, созданная с нуля на языке Go, которая способна работать как в среде Windows, так и на устройствах под управлением Linux и IoT-систем. Кроме того, она поддерживает множество процессорных архитектур, включая amd64, mips, arm и 80386.
В отличие от распространённых и хорошо известных сетей вроде Mirai или Gafgyt , hpingbot демонстрирует инновационный подход и использует нетрадиционные методы для сокрытия своей активности и повышения эффективности. В частности, злоумышленники применяют сервис хранения текстов Pastebin для доставки вредоносных компонентов, а также используют сетевой инструмент hping3 для организации DDoS-атак.
По информации из отчёта, такой способ работы позволяет не только значительно усложнить обнаружение ботнета, но и существенно сократить затраты на его поддержку и развитие. Всё это делает hpingbot одной из наиболее быстроразвивающихся и опасных угроз.
Специалисты отмечают, что с помощью Pastebin злоумышленники могут регулярно и динамически обновлять вредоносные файлы, что позволяет быстро адаптировать ботнет к изменяющимся условиям и целям. С середины июня 2025 года на Pastebin неоднократно менялось содержимое ссылок, связанных с ботнетом — от простого списка IP-адресов до скриптов для загрузки дополнительных компонентов.
Ключевым элементом атаки остаётся применение утилиты hping3 — обычно она используется для диагностики сетевых соединений, однако в данном случае её функционал используется для мощных DDoS-атак. Ботнет способен генерировать SYN-флуды, UDP-флуды и комбинированные атаки, что делает его опасным инструментом для вывода из строя целевых ресурсов.
Интересно, что версия hpingbot для Windows не может применять hping3 из-за особенностей операционной системы. Однако и в этом случае активность заражённых устройств не снижается — они продолжают загружать и выполнять произвольные вредоносные файлы, что указывает на более широкие задачи злоумышленников, выходящие за рамки простого сетевого саботажа.
По данным мониторинга Fuying Lab, с 17 июня зафиксировано всего несколько сотен команд на проведение DDoS-атак, причём большинство из них были направлены против объектов в Германии, США и Турции. Это свидетельствует о том, что основное внимание разработчиков hpingbot сосредоточено не на атаках, а на наращивании инфраструктуры для будущих, более масштабных операций.
Скорость развития hpingbot вызывает серьёзную тревогу. Сеть активно обновляется: регулярно меняются C2-серверы, ссылки на Pastebin, скрипты установки и вредоносные модули. Уже с 19 июня злоумышленники распространяют через узлы hpingbot дополнительные компоненты, написанные на Go, которые также предназначены для проведения DDoS-атак. Вероятно, это либо попытка обновить уже существующие элементы сети, либо расширение её функционала.
Примечательно, что в новых компонентах обнаружена отладочная информация на немецком языке, что может говорить о стадии тестирования этих инструментов. Однако их одновременное распространение в реальной среде показывает уверенность злоумышленников в своих разработках и пренебрежение мерами защиты.
Кроме того, специалисты выявили в составе hpingbot модуль для самостоятельного распространения через SSH, механизмы обеспечения постоянного присутствия в системе (с использованием Systemd, SysVinit и Cron), а также методы сокрытия следов присутствия. Это указывает на высокий уровень организации и подготовки разработчиков ботнета.
С учётом того, что современные ботнеты всё чаще становятся платформами для шпионских группировок и кампаний по распространению вымогательского ПО, потенциал hpingbot для дальнейшего распространения более опасных угроз вызывает серьёзные опасения. За ситуацией продолжает вестись пристальное наблюдение.