ShadowV2

Source: FortiGuard Labs (blog Fortinet). Lors d’une perturbation mondiale d’AWS fin octobre, les capteurs Fortinet ont observé la propagation de « ShadowV2 », une variante de Mirai ciblant des appareils IoT via plusieurs vulnérabilités, avec une activité probablement testée en vue d’attaques ultérieures. Le botnet avait déjà été signalé en septembre pour des campagnes visant des instances AWS EC2. Portée et impact : niveau de sévérité élevé avec possibilité pour un attaquant distant de prendre le contrôle des systèmes vulnérables. Sont listées comme plateformes affectées notamment : DD‑WRT 24 sp1, plusieurs D‑Link ShareCenter/GO‑RT‑AC750 (DNS‑320/320LW/325/340L), Digiever DS‑2105 Pro 3.1.0.71-11, TBK DVR‑4104/4216, et la série TP‑Link Archer. Les tentatives d’exploitation ont touché des organisations de sept secteurs (technologie, retail/hôtellerie, manufacturing, MSSP, gouvernement, télécoms/opérateurs, éducation) et de nombreux pays sur tous les continents 🌍. Utilisateurs impactés: toute organisation. ...

Source: Darktrace. Les chercheurs détaillent « ShadowV2 », une campagne cybercriminelle qui industrialise le DDoS via une stack moderne (Python/Go/FastAPI) et une utilisation opportuniste d’infrastructures cloud et DevOps. Cette opération démarre par l’exploitation de daemons Docker exposés sur AWS EC2 via un script Python exécuté depuis GitHub CodesSpaces 🐳☁️. Elle déploie un malware containerisé incluant un RAT en Go qui communique en REST avec son C2. Le RAT Go intègre des capacités DDoS avancées : HTTP/2 rapid reset, contournement du mode “Under Attack” de Cloudflare, et floods HTTP à grande échelle 🚀. L’ensemble suggère une plateforme opérationnelle et scalable. ...