Uma nova ameaça cibernética, o botnet Zergeca, foi recentemente descoberta e se destaca pela sua sofisticação e capacidade de realizar múltiplos tipos de ataques. Detectado pela primeira vez em maio de 2024, o Zergeca é implementado em Golang, utilizando a biblioteca Smux para comunicação e criptografia de dados com XOR. Além de ataques DDoS, esse botnet suporta funções avançadas como proxying, escaneamento, transferência de arquivos e coleta de informações sensíveis. Sua persistência é assegurada por um serviço de sistema que reinicia automaticamente o botnet após reinicializações ou término de processos.
O Zergeca também inclui um módulo de remoção de malwares concorrentes, como Mozi e Kinsing, visando manter o controle exclusivo do dispositivo comprometido. Para mascarar a resolução de domínios no tráfego de rede, utiliza métodos avançados de DNS, priorizando DNS sobre HTTPS (DoH). A comunicação entre o bot e o servidor de comando e controle (C2) é altamente segura, utilizando a biblioteca Smux para garantir a confiabilidade na multiplexação dos dados. Durante análises, diversas amostras do Zergeca foram encontradas com baixas taxas de detecção, indicando sua habilidade de evadir mecanismos tradicionais de segurança.
Pesquisadores descobriram que o Zergeca suporta sete vetores de ataque DDoS diferentes, como synFlood, ackFlood e httpPPS. Desde setembro de 2023, o botnet esteve ativo em várias infraestruturas, inicialmente como scanner e downloader para botnets Mirai antes de sua evolução para o Zergeca. Em junho de 2024, novos comandos DDoS foram identificados, sugerindo que o desenvolvimento e a atualização contínua do Zergeca estão em curso.