Siber güvenlik araştırmacıları, dağıtılmış hizmet engelleme (DDoS) saldırıları gerçekleştirebilen Zergeca adlı yeni bir botnet keşfetti.
Golang dilinde yazılmış olan botnet, komuta ve kontrol (C2) sunucularında bulunan “ootheca” adlı bir dizeye atıfta bulunması nedeniyle bu şekilde adlandırılmıştır (“ootheca”)[.]pw” ve “ootheca”[.]tepe”).
QiAnXin XLab ekibi bir raporda, “İşlevsel olarak Zergeca, sıradan bir DDoS botnet’i değil; altı farklı saldırı yöntemini desteklemenin yanı sıra, proxy, tarama, kendi kendini yükseltme, kalıcılık, dosya transferi, ters kabuk ve hassas cihaz bilgilerini toplama yeteneklerine de sahip” dedi.
Zergeca ayrıca C2 sunucusunun Alan Adı Sistemi (DNS) çözümlemesini gerçekleştirmek için DNS-over-HTTPS (DoH) kullanması ve C2 iletişimleri için Smux olarak bilinen daha az bilinen bir kütüphaneyi kullanmasıyla da dikkat çekiyor.
Kötü amaçlı yazılımın yeni komutları desteklemek için aktif olarak geliştirildiğini ve güncellendiğini öne süren kanıtlar var. Dahası, C2 IP adresi 84.54.51[.]82’nin daha önce Eylül 2023 civarında Mirai botnetini dağıtmak için kullanıldığı söyleniyor.
29 Nisan 2025 tarihi itibarıyla aynı IP adresi yeni botnet için C2 sunucusu olarak kullanılmaya başlandı ve bu durum tehdit aktörlerinin “Zergeca’yı yaratmadan önce Mirai botnetlerini işletme konusunda deneyim kazanmış” olma ihtimalini gündeme getirdi.
Botnet tarafından düzenlenen saldırılar, özellikle ACK flood DDoS saldırıları, 2024 yılı Haziran ayı başı ile ortası arasında Kanada, Almanya ve ABD’yi hedef aldı.
Zergeca’nın özellikleri, kalıcılığı sağlamak için kalıcılık, proxy, silivaccine ve zombi olmak üzere dört ayrı modülü kapsıyor; bir sistem hizmeti ekleyerek, proxy’yi uygulayarak, rakip madencileri ve arka kapı kötü amaçlı yazılımlarını kaldırarak ve x86-64 CPU mimarisini çalıştıran cihazlar üzerinde özel kontrol elde ederek ve ana botnet işlevselliğini yöneterek kalıcılığı ayarlıyor.
Zombi modülü, saldırıya uğramış cihazdaki hassas bilgileri C2’ye bildirmekten sorumludur ve sunucudan gelecek komutları bekler, altı tür DDoS saldırısı, tarama, ters kabuk ve diğer işlevleri destekler.
XLab, “Yerleşik rakip listesi, yaygın Linux tehditlerine aşinalık gösteriyor,” dedi. “Değiştirilmiş UPX paketleme, hassas dizeler için XOR şifrelemesi ve C2 çözünürlüğünü gizlemek için DoH kullanımı gibi teknikler, kaçınma taktikleri konusunda güçlü bir anlayış gösteriyor.”