Zergeca dinamai berdasarkan string “ootheca” yang ditemukan di server command-and-control (C2) seperti “ootheca[.]pw” dan “ootheca[.]top”.
Dunia keamanan siber kembali dihebohkan dengan penemuan botnet baru yang mampu melancarkan serangan distributed denial-of-service (DDoS) yang sangat kuat. Botnet ini, yang dinamai Zergeca, ditemukan oleh para peneliti dari QiAnXin XLab dan ditulis dalam bahasa pemrograman Golang.
Dilansir dari The Hacker News (6/7), Zergeca dinamai berdasarkan string “ootheca” yang ditemukan di server command-and-control (C2) seperti “ootheca[.]pw” dan “ootheca[.]top”. Botnet ini tidak hanya mendukung enam metode serangan DDoS yang berbeda, tetapi juga memiliki kemampuan untuk proxy, pemindaian, pembaruan otomatis, persistensi, transfer file, reverse shell, dan pengumpulan informasi sensitif dari perangkat yang terinfeksi.
“Zergeca bukan sekadar botnet DDoS biasa. Kemampuannya yang beragam menunjukkan betapa canggihnya botnet ini,” ungkap tim QiAnXin XLab dalam laporannya.
Yang membuat Zergeca menonjol adalah penggunaannya terhadap DNS-over-HTTPS (DoH) untuk melakukan resolusi Domain Name System (DNS) dari server C2 dan pemakaian pustaka Smux untuk komunikasi C2, yang kurang dikenal.
Peneliti juga menemukan bukti bahwa botnet ini terus berkembang dengan pembaruan berkala untuk mendukung perintah baru. Alamat IP C2 84.54.51[.]82, yang sebelumnya digunakan untuk menyebarkan botnet Mirai pada September 2023, kini digunakan sebagai server C2 untuk Zergeca sejak 29 April 2025. Hal ini mengindikasikan bahwa pelaku ancaman mungkin telah memperoleh pengalaman dari pengoperasian botnet Mirai sebelum menciptakan Zergeca.
Serangan DDoS yang dilancarkan oleh Zergeca, terutama serangan ACK flood, telah menargetkan Kanada, Jerman, dan Amerika Serikat dari awal hingga pertengahan Juni 2024.
Zergeca memiliki empat modul utama: persistensi, proxy, silivaccine, dan zombie. Modul-modul ini memungkinkan botnet untuk menambahkan layanan sistem, mengimplementasikan proxy, menghapus malware pesaing, serta mengambil alih kontrol eksklusif perangkat dengan arsitektur CPU x86-64.
Modul zombie bertugas melaporkan informasi sensitif dari perangkat yang terinfeksi ke C2 dan menunggu perintah dari server. Modul ini mendukung enam jenis serangan DDoS, pemindaian, reverse shell, dan fungsi lainnya.
“Daftar pesaing yang dibangun menunjukkan bahwa pelaku ancaman sangat familiar dengan ancaman Linux umum,” jelas tim XLab. “Teknik seperti packing UPX yang dimodifikasi, enkripsi XOR untuk string sensitif, dan penggunaan DoH untuk menyembunyikan resolusi C2 menunjukkan pemahaman yang kuat tentang taktik penghindaran.”
Dengan berbagai kemampuan canggihnya, Zergeca menjadi ancaman serius bagi keamanan siber global. Para ahli terus memantau dan mengembangkan langkah-langkah untuk melindungi infrastruktur penting dari serangan yang dilancarkan oleh botnet ini.
