HTTPBot: умный ботнет нового поколения охотится на бизнес-критичные сервисы

Весна 2025 года принесла тревожный сигнал для кибербезопасности: специалисты NSFOCUS зафиксировали всплеск активности нового ботнета HTTPBot, работающего не по принципу силы, а по принципу точности. Этот вредонос на языке Go атакует бизнес-критичные интерфейсы, маскируясь под действия настоящих пользователей и обходя классические системы защиты.

В отличие от классических DDoS-атак, HTTPBot не перегружает инфраструктуру трафиком, а внедряется в болевые точки: страницы авторизации, оплаты, внутренних API. Он умеет изменять заголовки, подделывать куки, управлять сессиями, разбавлять трафик паузами, имитируя живое поведение. Среди методов — PostAttack, CookieAttack, WebSocketAttack — все они направлены на HTTP-интерфейсы и часто активируются только в среде Windows 8+, игнорируя IoT-сегмент.

HTTPBot работает через TCP и TLS, реагирует на коды ошибок сервера, делает «перерывы», чтобы не быть замеченным. Он способен точно управляться удалённо, отключаясь или перезапускаясь по ID события. Такой уровень адаптации делает его невидимкой для большинства фильтров и WAF-систем, особенно тех, что настроены на фиксированные параметры.

Атаки HTTPBot уже затронули российские игровые компании, IT-сервисы и образовательные платформы. Эксперты отмечают, что мы находимся в начале новой эры DDoS — больше не масштаб, а точность и поведение становятся главными оружием. Чтобы противостоять такой угрозе, системам киберзащиты предстоит развиваться в сторону динамического анализа и интеллектуального распределения нагрузки.