Un monitoreo rutinario de la red detecta algo alarmante: contenedores en la nube se han convertido en la base de un potente botnet.

Ante el aumento de la actividad de ciberdelincuentes, la empresa Darktrace reveló una nueva campaña en la que participa la botnet ShadowV2. Los investigadores registraron actividad de la infraestructura maliciosa el 24 de junio de 2025 cuando sus señuelos se activaron. Esta red se basa en un troyano escrito en Go que convierte contenedores en la nube comprometidos de Amazon Web Services en nodos completos para llevar a cabo ataques DDoS.

Una característica de ShadowV2 es que utiliza instancias de Docker vulnerables que se ejecutan en máquinas virtuales AWS EC2. El primer paso de la infección consiste en desplegar un contenedor auxiliar basado en una imagen de Ubuntu, donde se instalan automáticamente las herramientas necesarias. Después se crea un contenedor separado con un archivo ELF ejecutable compilado, que proporciona la comunicación con el servidor de control en la dirección «shadow.aurozacloud[.]xyz». El malware envía regularmente mensajes de "heartbeat" y recibe comandos de ese servidor, incluidas instrucciones para iniciar ataques.

La infraestructura de control de la botnet está construida con el framework Python FastAPI y la biblioteca Pydantic. La interfaz web del sistema incluye un formulario de autenticación y un panel de control para los operadores, lo que permite añadir y editar usuarios, establecer parámetros de ataque, la lista de objetivos y las excepciones. Todo esto indica que ShadowV2 es una plataforma lista para realizar ataques DDoS bajo el modelo de servicio por pago.

Los ataques distribuidos realizados con ShadowV2 incluyen técnicas avanzadas. Entre ellas se encuentra el restablecimiento rápido de HTTP/2, un ataque capaz de derribar servidores mediante reinicios múltiples de conexiones a altas velocidades, y eludir el modo de protección "Bajo Ataque" de Cloudflare. Este último se implementa mediante la herramienta ChromeDP, que permite resolver automáticamente tareas JavaScript y obtener cookies para evadir la protección. Sin embargo, la fiabilidad de este método es cuestionable, ya que muchas protecciones detectan el comportamiento de navegadores sin cabeza y lo bloquean.

Además, ShadowV2 utiliza un módulo distribuidor independiente, también escrito en Python. Este componente compromete los demonios de Docker y luego despliega el contenedor malicioso. Este enfoque permite a los delincuentes minimizar las huellas en las máquinas comprometidas y dificultar la investigación forense.

Lo que resulta especialmente inquietante es la orientación de toda la arquitectura hacia la escalabilidad y la reutilización: la API de control permite no solo configurar ataques, sino también escalar masivamente la infraestructura con automatización completa. Así, ShadowV2 es un ejemplo de ciberdelincuencia de nueva generación, donde las herramientas maliciosas cada vez recuerdan más a productos de tipo SaaS legales en comodidad y escalabilidad.

En paralelo con este incidente, F5 Labs informó sobre otra ola de actividad: una botnet que utiliza cabeceras de navegador que se hacen pasar por Mozilla está realizando un escaneo a gran escala de Internet en busca de vulnerabilidades conocidas. En total se detectó el uso de más de 11.000 cadenas distintas de User-Agent relacionadas con navegadores basados en Mozilla.

Mientras tanto, Cloudflare publicó su propio informe en el que se informa sobre el bloqueo automático exitoso del mayor ataque DDoS hasta la fecha. La potencia del ataque registrado alcanzó 22,2 Tbit/s con una carga pico de 10,6 mil millones de paquetes por segundo. El ataque duró solo 40 segundos, pero su intensidad marcó un nuevo récord en la historia de las ciberamenazas.

Todos estos hechos subrayan la tendencia hacia la complejidad de las herramientas de los atacantes y el crecimiento de la industria del "ciberdelito como servicio". Las botnets modernas como ShadowV2 se desarrollan con la vista puesta en la escalabilidad, la funcionalidad y la facilidad de uso, incluso para clientes técnicamente no preparados.