La diffusione di malware scritto in linguaggio di programmazione Go è aumentata drasticamente negli ultimi anni grazie alla sua flessibilità, ai bassi tassi di rilevamento antivirus e alla difficoltà di reverse-engineering. Black Lotus Labs, la divisione di intelligence sulle minacce di Lumen Technologies, ha recentemente scoperto un malware multifunzionale basato su Go, sviluppato sia per Windows che per Linux, oltre che per un’ampia gamma di architetture software utilizzate in dispositivi che vanno dai router per piccoli uffici/home office (SOHO) ai server aziendali. Abbiamo scoperto e analizzato circa 100 campioni del malware, chiamato Chaos dall’attore, che è stato scritto in cinese e sfrutta l’infrastruttura cinese per il comando e il controllo. Le funzionalità di Chaos includono la capacità di enumerare l’ambiente host, eseguire comandi shell remoti, caricare moduli aggiuntivi, propagarsi automaticamente attraverso il furto e la forzatura brutale delle chiavi private SSH, nonché lanciare attacchi DDoS. Utilizzando la visibilità globale della rete Lumen, Black Lotus Labs ha enumerato i C2 e gli obiettivi di diversi cluster Chaos distinti, tra cui una compromissione riuscita di un server GitLab e una serie di recenti attacchi DDoS rivolti ai settori del gioco, dei servizi finanziari e tecnologici, dei media e dell’intrattenimento, nonché a fornitori di DDoS-as-a-service e a uno scambio di criptovalute. Sebbene l’infrastruttura della botnet sia oggi relativamente più piccola rispetto ad alcune delle principali famiglie di malware DDoS, Chaos ha dimostrato una rapida crescita negli ultimi mesi. Data l’idoneità del malware Chaos a operare su una gamma di dispositivi consumer e aziendali, la sua funzionalità multiuso e il profilo stealth dell’infrastruttura di rete che lo sostiene, valutiamo con moderata sicurezza che questa attività sia opera di un attore criminale informatico che sta coltivando una rete di dispositivi infetti da sfruttare per l’accesso iniziale, gli attacchi DDoS e il mining di criptovalute.