Investigadores de Darktrace han documentado ShadowV2, una campaña DDoS que compromete entornos de Docker mal configurados y los alquila bajo un modelo DDoS-as-a-Service. A diferencia de botnets clásicos, la operación se apalanca en herramientas modernas de DevOps —incluido GitHub Codespaces— y prioriza la discreción conductual frente al uso de imágenes públicas fácilmente bloqueables.
Un enfoque de plataforma: control distribuido y protección en la nube
En lugar de depender de un C2 monolítico, ShadowV2 opera un servidor de control en Python presumiblemente alojado en GitHub Codespaces y protegido tras Cloudflare. Una configuración insegura permitió a los analistas enumerar el API del servicio, donde se observan autenticación por niveles, roles y restricciones por tipo de ataque, señales claras de una oferta comercial: los clientes pagan, se autentican y lanzan campañas desde su propio panel.
Cadena de compromiso: de un Docker expuesto a una carga de ataque funcional
La intrusión se inicia con un script en Python ejecutado desde Codespaces que automatiza llamadas al Docker API contra demonios expuestos a Internet, incluidos instancias de AWS. En lugar de extraer una imagen conocida de un registro público, los operadores crean un contenedor “setup”, instalan herramientas, construyen una imagen personalizada y la despliegan como carga activa. Este flujo reduce la huella de firmas y dificulta la detección basada en indicadores estáticos.
Motor de ataque en Go: FastHTTP y evasión de defensas L7
Dentro del contenedor, un binario en Go actúa como núcleo de generación de tráfico, lanzando múltiples hilos con clientes HTTP configurables basados en la librería FastHTTP (Valyala), optimizada para alto rendimiento. El arsenal incluye HTTP flood, explotación de HTTP/2 Rapid Reset (CVE-2023-44487), suplantación de cabeceras de encaminamiento con IP aleatorias y técnicas para eludir Under Attack Mode de Cloudflare. Dos variantes se subieron a VirusTotal el 25 de junio y el 30 de julio, inicialmente sin detecciones, lo que evidencia una fase de baja visibilidad.
Modelo operativo: DDoS-as-a-Service sin el botnet “clásico”
El rasgo más disruptivo es un API de cliente mediante el cual los compradores aportan su lista de nodos ya comprometidos para orquestar los ataques. Este diseño rompe la lógica tradicional —C2 controla zombies de forma centralizada— y convierte la infraestructura en una plataforma flexible donde cada campaña ensambla su propia red de disparo. Este abuso de servicios cloud y de CI/CD ya se ha observado en operaciones como TeamTNT o Kinsing, pero pocas veces con una capa de producto tan madura.
Detección basada en comportamiento: qué vigilar en nube y CI/CD
Los indicadores fijos tienen valor limitado; la prioridad es la telemetría conductual en hosts, contenedores y red: invocaciones inusuales al Docker API, automatización masiva de creación/ejecución de contenedores, conexiones salientes persistentes hacia nodos efímeros, picos de egress y aparición de clientes HTTP de alto rendimiento dentro de contenedores. Campañas previas (Kinsing, TeamTNT) suelen iniciar en sockets Docker expuestos. Búsquedas en escáneres abiertos como Shodan muestran de forma sostenida miles de endpoints Docker accesibles en Internet, una superficie de ataque evitable.
Mitigaciones prioritarias para Docker y entornos cloud
- Endurezca el Docker API: desactive el socket TCP público, utilice el socket UNIX, habilite TLS y autenticación obligatoria; restrinja por Security Groups y ACLs de VPC en AWS.
- Implemente least privilege, imágenes inmutables y control de integridad; audite eventos de build/run y accesos a Docker/Containerd.
- Genere alertas por creación de contenedores “setup” y cadenas de construcción atípicas; limite el egress por VPC/subred y enrute salidas vía proxy autenticado.
- Supervise tráfico HTTP/2 de alta frecuencia y patrones de Rapid Reset (CVE-2023-44487); en el perímetro, aplique rate limiting, mitigación L7 y validación estricta de cabeceras como X-Forwarded-For.
- Gestione la exposición externa: evalúe periódicamente Docker, Kubelet, Prometheus, Redis y otros servicios frecuentemente abusados, siguiendo guías de CISA/ENISA para hardening en la nube.
ShadowV2 ilustra cómo actores maliciosos convierten herramientas DevOps en plataformas DDoS flexibles y de bajo rastro. Reforzar el control de acceso a Docker, adoptar analítica basada en comportamiento y endurecer las políticas de salida en la nube reduce drásticamente el riesgo. Es recomendable auditar hoy mismo los servicios expuestos y automatizar la monitorización del Docker API para adelantarse a la próxima iteración de estos botnets “plataforma”.