Pesquisadores de segurança cibernética descobriram uma nova família de malware de botnet chamada Gorilla, ou GorillaBot, que é uma variante baseada no código-fonte vazado da botnet Mirai. A botnet atingiu mais de 100 países, com setores como universidades, sites governamentais, telecomunicações, bancos, jogos e apostas sendo os principais alvos. Países como China, Estados Unidos, Canadá e Alemanha foram os mais impactados.

O Gorilla utiliza métodos de ataque DDoS, como inundações UDP, ACK BYPASS, Valve Source Engine (VSE), SYN e ACK, tirando proveito da natureza sem conexão do protocolo UDP, o que permite falsificação de endereços IP de origem para aumentar o tráfego e a eficácia dos ataques. Ele opera em várias arquiteturas de CPU, como ARM, MIPS, x86_64 e x86, e se conecta a cinco servidores de comando e controle (C2) predefinidos para receber comandos de ataque.

Além dos ataques DDoS, o Gorilla explora uma vulnerabilidade no Apache Hadoop YARN RPC para obter execução remota de código, uma falha que vem sendo usada em ataques desde 2021. A botnet introduziu novos métodos de ataque e emprega algoritmos de criptografia usados pelo grupo Keksec para esconder informações-chave, além de técnicas que garantem o controle a longo prazo sobre dispositivos IoT e hosts em nuvem.