Os atores maliciosos por trás do botnet CatDDoS exploraram mais de 80 falhas de segurança conhecidas em vários softwares nos últimos três meses para infiltrar dispositivos vulneráveis e integrá-los em uma rede de bots para realizar ataques de negação de serviço distribuído (DDoS). As falhas afetam roteadores, equipamentos de rede e outros dispositivos de fornecedores como Apache (ActiveMQ, Hadoop, Log4j e RocketMQ), Cacti, Cisco, D-Link, DrayTek, FreePBX, GitLab, Gocloud, Huawei, Jenkins, Linksys, Metabase, NETGEAR, Realtek, Seagate, SonicWall, Tenda, TOTOLINK, TP-Link, ZTE e Zyxel, entre outros.

O CatDDoS foi previamente documentado no final de 2023, sendo descrito como uma variante do botnet Mirai capaz de realizar ataques DDoS usando UDP, TCP e outros métodos. Além de usar o algoritmo ChaCha20 para criptografar comunicações com o servidor C2, ele utiliza um domínio OpenNIC para C2 em uma tentativa de evitar a detecção, uma técnica anteriormente adotada por outro botnet de DDoS baseado em Mirai chamado Fodcha.

Suspeita-se que os autores originais por trás do malware encerraram suas operações em dezembro de 2023, mas não antes de colocar o código-fonte à venda em um grupo dedicado no Telegram.