Nel panorama della cybersicurezza è emersa una nuova minaccia: ShadowV2, una botnet offerta in modalità Malware-as-a-Service (MaaS) progettata per lanciare attacchi DDoS avanzati. Secondo le prime analisi di Darktrace, intercettata a fine giugno 2025 tramite honeypot, ShadowV2 si distinguerebbe dalle campagne precedenti perché sfrutta container Docker esposti o configurati in modo insicuro su infrastrutture cloud (ad esempio istanze AWS) per costruire la propria rete di attacco. Questo approccio “cloud-native” la renderebbe più difficile da contrastare rispetto alle botnet tradizionali.
ShadowV2 si presenta come una botnet modulare disponibile as-a-service. Gli operatori possono gestirla attraverso API e pannelli di controllo, selezionando modalità di attacco e obiettivi in pochi click.
Il malware, scritto in Go e Python, compromette server Docker accessibili tramite API non protette, installa container “helper” e distribuisce eseguibili ELF che trasformano le macchine infette in nodi della botnet. Questo modello abbassa la barriera d’ingresso: anche attori non particolarmente esperti possono affittare potenza di fuoco per lanciare un DDoS su commissione.
ShadowV2 integra tecniche offensive già note ma efficaci. Tra queste spicca l’uso dell’attacco HTTP/2 Rapid Reset (CVE-2023-44487), che sfrutta la gestione delle connessioni nel protocollo per saturare i server Layer 7 con richieste fasulle.
Secondo le analisi, il malware sarebbe in grado anche di impiegare strumenti come ChromeDP per simulare la navigazione umana e provare ad aggirare protezioni come la modalità Under Attack di Cloudflare, superando challenge JavaScript e ottenendo cookie di sessione legittimi. La catena d’infezione appare modulare: un container Ubuntu helper prepara il terreno, mentre moduli aggiuntivi possono svolgere funzioni di ricognizione, persistenza e attacco coordinato sotto il controllo di un server C2.
Queste tecniche, già di per sé insidiose, diventano ancora più difficili da contrastare quando il traffico parte da infrastrutture cloud legittime: ed è qui che ShadowV2 mostra tutta la sua pericolosità
La particolarità di ShadowV2 è che il traffico malevolo proviene da infrastrutture cloud legittime. Questo rende più complesso distinguere il traffico ordinario da quello degli attacchi, aumentando il rischio di falsi positivi nei sistemi di filtraggio. Inoltre, la scalabilità offerta dall’orchestrazione tramite API consente di lanciare campagne in tempi brevi e con grande flessibilità. ShadowV2 rappresenta una minaccia in evoluzione: una botnet elastica e resiliente, con caratteristiche che la rendono più insidiosa rispetto a modelli precedenti.
Gli esperti raccomandano innanzitutto di:
Sul fronte mitigazione, è utile implementare WAF e soluzioni anti-DDoS in grado di gestire attacchi a livello 7, con funzionalità di rate limiting adattivo e regole specifiche per il Rapid Reset. Chi utilizza servizi come Cloudflare deve verificare che le policy di challenge siano aggiornate e monitorare eventuali tentativi di bypass. Infine, è fondamentale predisporre un piano di risposta agli incidenti e formare i team DevOps e SecOps a riconoscere comportamenti anomali legati ai container compromessi.
Con ShadowV2, il cybercrime mostra come i modelli as-a-service stiano evolvendo verso scenari sempre più legati al cloud. Per aziende, enti pubblici e PMI, questo significa un livello di rischio crescente e complesso da gestire. Basti pensare ad un e-commerce che subisce anche pochi minuti di inattività: le perdite economiche possono essere immediate, senza contare il danno di immagine e la fuga dei clienti verso concorrenti più affidabili. Non basta più affidarsi esclusivamente a soluzioni standard: serve una strategia di cyber resilience che combini monitoraggio continuo, protezione multilivello e competenze specialistiche.
Per valutare la sicurezza della tua infrastruttura e predisporre un piano di difesa su misura, contatta Sito Web Sicuro: proteggere oggi i tuoi sistemi significa garantire il futuro del tuo business online.
Fonti: SecurityWeek.com , DarkTrace.com
