Pesquisadores de cibersegurança identificaram uma nova botnet chamada HTTPBot, que tem como principais alvos a indústria de jogos, empresas de tecnologia e instituições educacionais na China. Detectada pela primeira vez em agosto de 2024, a botnet tem se expandido de forma agressiva, utilizando dispositivos infectados para lançar ataques DDoS com precisão cirúrgica.

Diferente de outras botnets que normalmente se concentram em sistemas Linux e dispositivos IoT, a HTTPBot é escrita em Golang e ataca exclusivamente sistemas Windows, o que a torna uma anomalia preocupante no cenário de ameaças digitais. Desde abril de 2025, o HTTPBot já conduziu mais de 200 ataques. Seu funcionamento se baseia em ataques do tipo HTTP Flood altamente simulados, utilizando técnicas de ofuscação dinâmica para burlar sistemas tradicionais de detecção baseados em regras. O malware atua de forma furtiva, escondendo sua interface gráfica para evitar monitoramento por usuários ou ferramentas de segurança e manipulando o Registro do Windows para garantir que seja executado automaticamente ao iniciar o sistema.

Uma vez ativado, o HTTPBot se conecta a um servidor de comando e controle (C2), de onde recebe instruções para realizar ataques com diferentes abordagens. Entre elas estão o uso de instâncias ocultas do Google Chrome para simular tráfego legítimo, sessões baseadas em cookies para parecerem autênticas, utilização do protocolo HTTP/2 para forçar o servidor a processar grandes respostas e conexões WebSocket para manter sessões ativas. Também explora requisições POST e manipulação de cookies para intensificar os ataques. Essa combinação de técnicas faz com que o HTTPBot represente uma nova fase nos ataques DDoS, substituindo a simples sobrecarga de tráfego por uma abordagem mais sofisticada e destrutiva.