Source: Darktrace. Les chercheurs détaillent « ShadowV2 », une campagne cybercriminelle qui industrialise le DDoS via une stack moderne (Python/Go/FastAPI) et une utilisation opportuniste d’infrastructures cloud et DevOps.
Cette opération démarre par l’exploitation de daemons Docker exposés sur AWS EC2 via un script Python exécuté depuis GitHub CodesSpaces 🐳☁️. Elle déploie un malware containerisé incluant un RAT en Go qui communique en REST avec son C2.
Le RAT Go intègre des capacités DDoS avancées : HTTP/2 rapid reset, contournement du mode “Under Attack” de Cloudflare, et floods HTTP à grande échelle 🚀. L’ensemble suggère une plateforme opérationnelle et scalable.
L’infrastructure C2 s’appuie sur un backend FastAPI avec validation Pydantic, une documentation OpenAPI complète, et une interface web soignée pour les opérateurs — autant d’indices d’un service DDoS-for-hire mature plutôt qu’un botnet traditionnel.
IOC et TTPs:
- IOCs: non divulgués dans l’extrait.
- TTPs:
- Exploitation de daemons Docker exposés sur AWS EC2.
- C2 Python hébergé sur GitHub CodesSpaces.
- RAT en Go avec RESTful C2.
- HTTP/2 rapid reset, bypass Cloudflare under-attack-mode, HTTP floods massifs.
- FastAPI + Pydantic pour le C2, OpenAPI et UI web pour opérer le service.
Type d’article: analyse de menace visant à documenter une campagne DDoS-as-a-service (ShadowV2) et ses composants techniques.
🧠 TTPs et IOCs détectés
TTPs
[‘Exploitation de daemons Docker exposés sur AWS EC2’, ‘Utilisation de GitHub CodesSpaces pour exécuter un script Python’, ‘Déploiement de malware containerisé avec un RAT en Go’, ‘Communication RESTful avec C2’, “Capacités DDoS avancées: HTTP/2 rapid reset, contournement du mode ‘Under Attack’ de Cloudflare, floods HTTP à grande échelle”, ‘Infrastructure C2 utilisant FastAPI avec validation Pydantic’, ‘Documentation OpenAPI et interface web pour opérer le service’]
IOCs
non divulgués dans l’extrait
🔗 Source originale : https://www.darktrace.com/blog/its-time-to-rethink-cloud-investigations