Los investigadores de seguridad cibernética están llamando la atención sobre un nuevo malware de botnet llamado HTTPBot que se ha utilizado principalmente para señalar a la industria del juego, así como a las empresas de tecnología e instituciones educativas en China.
"En los últimos meses, se ha expandido agresivamente, aprovechando continuamente los dispositivos infectados para lanzar ataques externos", dijo NSFOCUS en un informe publicado esta semana. "Al emplear ataques HTTP Flood altamente simulados y técnicas de ofuscación de características dinámicas, elude los mecanismos tradicionales de detección basados en reglas".
HTTPBot, detectado por primera vez en la naturaleza en agosto de 2024, recibe su nombre del uso de protocolos HTTP para lanzar ataques de denegación de servicio distribuidos. Escrito en Golang, es una especie de anomalía dado que está dirigido a los sistemas Windows.
El troyano botnet basado en Windows destaca por su uso en ataques dirigidos con precisión a interfaces comerciales de alto valor, como el inicio de sesión de juegos y los sistemas de pago.
"Este ataque con precisión de 'bisturí' representa una amenaza sistémica para las industrias que dependen de la interacción en tiempo real", dijo la compañía con sede en Beijing. "HTTPBot marca un cambio de paradigma en los ataques DDoS, pasando de la 'supresión indiscriminada del tráfico' a la 'estrangulación empresarial de alta precisión'".
Se estima que HTTPBot ha emitido no menos de 200 instrucciones de ataque desde principios de abril de 2025, con ataques diseñados para atacar la industria del juego, las empresas de tecnología, las instituciones educativas y los portales de turismo en China.
Una vez instalado y ejecutado, el malware oculta su interfaz gráfica de usuario (GUI) para eludir la supervisión de procesos tanto por parte de los usuarios como de las herramientas de seguridad en un esfuerzo por aumentar el sigilo de los ataques. También recurre a la manipulación no autorizada del Registro de Windows para asegurarse de que se ejecute automáticamente al iniciar el sistema.
A continuación, el malware de botnet procede a establecer contacto con un servidor de comando y control (C2) para esperar más instrucciones para ejecutar ataques de inundación HTTP contra objetivos específicos mediante el envío de un gran volumen de solicitudes HTTP. Es compatible con varios módulos de ataque:
- BrowserAttack, que implica el uso de instancias ocultas de Google Chrome para imitar el tráfico legítimo mientras se agotan los recursos del servidor
- HttpAutoAttack, que hace uso de un enfoque basado en cookies para simular con precisión sesiones legítimas
- HttpFpDlAttack, que usa el protocolo HTTP/2 y opta por un enfoque que busca aumentar el cargador de CPU en el servidor al obligarlo a devolver respuestas grandes
- WebSocketAttack, que usa los protocolos "ws://" y "wss://" para establecer conexiones WebSocket
- PostAttack, que obliga al uso de HTTP POST para llevar a cabo el ataque
- CookieAttack, que agrega un flujo de procesamiento de cookies basado en el método de ataque BrowserAttack
"Las familias de botnets DDoS tienden a congregarse en plataformas Linux e IoT", dijo NSFOCUS. "Sin embargo, la familia de botnets HTTPBot se ha dirigido específicamente a la plataforma Windows".
"Al simular profundamente las capas de protocolo e imitar el comportamiento legítimo del navegador, HTTPBot evita las defensas que dependen de la integridad del protocolo. También ocupa continuamente los recursos de la sesión del servidor a través de rutas de URL aleatorias y mecanismos de reposición de cookies, en lugar de depender de un gran volumen de tráfico".
