Il panorama della sicurezza informatica sta affrontando una nuova minaccia con la comparsa della botnet HTTPBot, un malware che ha preso di mira principalmente il settore gaming, aziende tecnologiche e istituti educativi in Cina. HTTPBot è stato individuato per la prima volta nell'agosto 2024 e si distingue dagli altri malware simili per la sua capacità di attaccare sistemi Windows, mentre la maggior parte delle botnet DDoS tende a concentrarsi su piattaforme Linux e dispositivi IoT.

HTTPBot sfrutta il protocollo HTTP per lanciare sofisticati attacchi di tipo Distributed Denial of Service, noti come DDoS. Nei primi mesi del 2025, questa botnet ha condotto oltre 200 attacchi mirati, colpendo in particolare le interfacce di business critiche, come i sistemi di login e pagamento dei giochi online. La particolarità di HTTPBot risiede nella sua precisione: non si limita a generare un grande volume di traffico, ma mira a saturare le risorse dei server imitando il comportamento di utenti reali.

Il malware si installa in modo furtivo, nascondendo la propria interfaccia grafica per evitare il rilevamento da parte di utenti e strumenti di sicurezza. Manipola il registro di sistema di Windows per garantirsi l’esecuzione automatica ad ogni avvio e stabilisce un collegamento con un server di comando e controllo (C2), da cui riceve istruzioni specifiche per gli attacchi.

Moduli di attacco di HTTPBot

• BrowserAttack: utilizza istanze nascoste di Google Chrome per simulare traffico reale e consumare le risorse del server.
• HttpAutoAttack: sfrutta i cookie per simulare sessioni autentiche.
• HttpFpDlAttack: si basa sul protocollo HTTP/2 e costringe il server a restituire risposte pesanti, aumentando il carico della CPU.
• WebSocketAttack: stabilisce connessioni WebSocket.
• PostAttack: forza l'uso del metodo POST.
• CookieAttack: raffina ulteriormente la simulazione del traffico legittimo.

A differenza di altri malware, HTTPBot si caratterizza per la capacità di aggirare le difese basate sull’integrità dei protocolli, sfruttando tecniche di offuscamento dinamico e simulazione profonda del comportamento dei browser. Questo approccio permette di occupare le risorse dei server target senza essere bloccati dai tradizionali sistemi di sicurezza. HTTPBot rappresenta quindi un cambiamento di paradigma negli attacchi DDoS, passando da una strategia di saturazione indistinta del traffico a una vera e propria "strangolazione" delle funzionalità di business più critiche.