Um novo e sofisticado botnet chamado HTTPBot está causando preocupações no mundo da cibersegurança, após ser utilizado em mais de 200 ataques DDoS altamente direcionados desde abril de 2025. Segundo relatório divulgado pela NSFOCUS, a ameaça tem como principais alvos empresas de tecnologia, plataformas de jogos online e instituições de ensino na China, além de portais de turismo digital.
Diferente de botnets tradicionais que executam ataques indiscriminados, o HTTPBot adota uma abordagem estratégica, focando em sistemas críticos como interfaces de login e plataformas de pagamento, especialmente no universo dos games. Esse novo padrão de ataque marca uma transição preocupante — de bombardeios de tráfego em massa para o que especialistas chamam de “estrangulamento de operações críticas”.
Desenvolvido em Golang e voltado especificamente para sistemas Windows, o HTTPBot foge da norma, já que a maioria das botnets semelhantes costuma explorar falhas em ambientes Linux e dispositivos IoT. Essa escolha técnica o torna uma ameaça mais complexa, especialmente em ambientes corporativos que utilizam o Windows de forma extensiva.
Como o HTTPBot opera
Após comprometer um sistema, o malware elimina qualquer traço visual ao ocultar sua interface gráfica, dificultando sua identificação tanto por usuários quanto por ferramentas de proteção. Ele altera configurações do Registro do Windows para garantir sua execução automática, reforçando sua persistência no sistema.
A seguir, o HTTPBot estabelece comunicação com um servidor de comando e controle (C2), de onde recebe instruções para iniciar ataques. Sua especialidade são os ataques HTTP Flood, capazes de sobrecarregar servidores com requisições simuladas, gerando lentidão ou indisponibilidade dos serviços.
Módulos de ataque sofisticados
O HTTPBot incorpora múltiplos módulos para maximizar sua eficácia:
- BrowserAttack: usa instâncias ocultas do navegador Google Chrome para emular tráfego real e consumir recursos do servidor.
- HttpAutoAttack: simula sessões legítimas via cookies, confundindo sistemas de segurança.
- HttpFpDlAttack: explora o protocolo HTTP/2 para forçar o uso intenso da CPU e entrega de respostas extensas.
- WebSocketAttack: emprega conexões WebSocket para manter comunicação constante com os servidores-alvo.
- PostAttack: realiza ataques via HTTP POST, frequentemente usados em formulários e transações.
- CookieAttack: insere variações no tratamento de cookies, criando requisições que se parecem com ações humanas legítimas.
Uma ameaça camuflada
O grande diferencial do HTTPBot está na sua capacidade de simular profundamente o comportamento de navegação legítima. Ele manipula cookies, gera URLs aleatórios e utiliza headers autênticos, dificultando a detecção por soluções tradicionais que dependem de assinaturas e padrões de tráfego.
Em vez de apenas gerar grande volume de dados, o HTTPBot ocupa sessões ativamente, mantendo conexões abertas por longos períodos e consumindo recursos como memória e processamento do servidor.
Essa combinação de precisão, furtividade e adaptabilidade representa um novo patamar para os ataques de negação de serviço. E embora o foco atual esteja na China, especialistas alertam que botnets como o HTTPBot têm potencial para se espalhar globalmente.
