Il malware XorDDoS continua a rappresentare una minaccia significativa nel panorama della sicurezza informatica, con una particolare attenzione verso gli Stati Uniti, dove il 71,3% degli attacchi si è verificato tra novembre 2023 e febbraio 2025. Questo malware è noto per i suoi attacchi di tipo denial-of-service distribuiti (DDoS), che hanno visto un aumento significativo della loro prevalenza dal 2020 al 2023. Gli esperti di Cisco Talos hanno evidenziato come l'incremento degli attacchi sia dovuto non solo alla diffusione globale del trojan XorDDoS, ma anche a un aumento delle richieste DNS malevoli collegate alla sua infrastruttura di comando e controllo (C2).

Il trojan XorDDoS ha esteso il suo raggio d'azione, prendendo di mira non solo le macchine Linux esposte, ma anche i server Docker, trasformando gli host infetti in bot. Circa il 42% dei dispositivi compromessi si trova negli Stati Uniti, seguiti da Giappone, Canada, Danimarca, Italia, Marocco e Cina. Questa minaccia persistente sfrutta attacchi di forza bruta Secure Shell (SSH) per ottenere credenziali valide e installare il malware su dispositivi IoT vulnerabili e altri dispositivi connessi a Internet.

Una volta che il malware si insedia, stabilisce la sua persistenza utilizzando uno script di inizializzazione incorporato e un cron job, garantendo che si avvii automaticamente all'avvio del sistema. Inoltre, utilizza una chiave XOR "BB2FA36AAA9541F0" per decifrare una configurazione interna necessaria per estrarre gli indirizzi IP per la comunicazione con il server C2.

Nel 2024, gli esperti di Talos hanno osservato una nuova versione del sub-controller XorDDoS, chiamata versione VIP, e il relativo controller centrale, insieme a un builder, suggerendo che il prodotto sia in vendita. Il controller centrale gestisce più sub-controller XorDDoS e invia comandi DDoS simultaneamente, con ciascuno di questi sub-controller che prende il comando di una botnet di dispositivi infetti.

Le impostazioni linguistiche del controller multilivello, del builder XorDDoS e dello strumento di binding del controller suggeriscono fortemente che gli operatori siano individui di lingua cinese. Questo sottolinea la necessità di una vigilanza continua e di strategie di difesa avanzate per contrastare questa minaccia in evoluzione.