Registrieren Anmelden
RegistrierenAnmelden
Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Breadcrumb-Navigation
Mit <kes>+ lesen

ShadowV2: Docker-Fehlkonfigurationen als Türöffner für DDoS-for-Hire-Dienste : Ein neues Botnetz nutzt Cloud-Schwachstellen, Python-Steuerung und Go-Malware, um Mietangriffe im großen Stil zu ermöglichen.

ShadowV2 heißt ein neu entdecktes Botnetz, das falsch konfigurierte Docker-Container in Amazon-Web-Services-Umgebungen ausnutzt. Es kombiniert ein Python-basiertes Steuerungssystem mit einer Go-Malware, verwandelt kompromittierte Instanzen in modulare Angriffsknoten und bietet diese über eine schicke Benutzeroberfläche als DDoS-Dienst zur Miete an.

THN/Stefan Mutschler (freier Journalist)BedrohungenSecurity-Management
Lesezeit 5 Min.

Das Botnetz ShadowV2 wurde im Juni 2025 von Darktrace erstmals in den eigenen Honeypots entdeckt. Die Sicherheitsforscher sprechen von einem professionell aufgebauten Distributed-Denial-of-Service-Ökosystem, das nicht nur technisch ausgefeilt, sondern auch als Geschäftsmodell konzipiert ist. Herzstück ist ein Python-basiertes Command-and-Control-Framework, das über GitHub Codespaces gehostet wird, und eine Go-Malware, die auf kompromittierten Systemen ausgeführt wird.

Die Betreiber von ShadowV2 verfolgen ein klares Ziel: Cloud-Ressourcen sollen in Angriffsknoten verwandelt werden, die sich flexibel steuern lassen. Kunden können diese Kapazität mieten und für Überlastungsangriffe gegen beliebige Ziele einsetzen – ein typisches „DDoS-as-a-Service“-Modell, das sich nahtlos in den wachsenden Markt für Cybercrime-Dienste einfügt.

Angriffskette und eingesetzte Techniken

Die Angreifer gehen bei der Verbreitung systematisch vor und nutzen die Dynamik von Containern aus. Der Ablauf lässt sich in mehrere technische Schritte gliedern:

  • Suche nach fehlkonfigurierten Docker-Diensten, insbesondere in Amazon-Web-Services-Umgebungen.
  • Start eines generischen Containers auf Basis von Ubuntu, Installation zusätzlicher Werkzeuge und Erzeugung eines neuen Container-Images.
  • Einrichtung einer Go-basierten ELF-Datei, die als Remote-Access-Tool dient, regelmäßig Signale („Heartbeats“) an den Steuerungsserver sendet und Befehle entgegennimmt.
  • Einbindung in eine Command-and-Control-Infrastruktur, die hinter Cloudflare verborgen ist und eine Bedienoberfläche sowie Programmierschnittstellen (APIs) für die Angreifer bereitstellt.

Besonders auffällig ist die Wahl des Vorgehens beim Container-Aufbau. Statt direkt ein manipuliertes Image von Docker Hub zu laden, erstellen die Angreifer zunächst einen generischen Container und bauen darauf ihre eigene Infrastruktur auf. Vermutlich wollen sie dadurch forensische Spuren minimieren und die Analyse erschweren.

Neue Methoden für DDoS-Angriffe

ShadowV2 hebt sich von älteren Botnetzen ab, weil es neue Techniken kombiniert und Schutzmechanismen gezielt ins Visier nimmt:

  • HTTP/2 Rapid Reset: Eine Angriffsvariante, die Verbindungen massenhaft aufbaut und sofort wieder abbricht, wodurch Server mit extrem vielen Requests überlastet werden.
  • Cloudflare-Bypass: Der Versuch, den „Under Attack Mode“ zu umgehen, indem das Browser-Tool CromeDP JavaScript-Herausforderungen automatisiert löst. Allerdings dürfte der Umgehungsversuch kaum funktionieren, weil diese JavaScript-Prüfungen ausdrücklich dafür entwickelt wurden, Verkehr von headless Browsern (Webbrowser, die ohne grafische Benutzeroberfläche laufen) zu erkennen und zu blockieren – zeigt aber den hohen Entwicklungseinsatz.
  • Modularität: Ein Python-Modul verbreitet die Malware über Docker-Dienste, während das Go-Programm Befehle entgegennimmt und die eigentlichen Angriffe ausführt.

Durch diesen modularen Ansatz können die Betreiber ihre Plattform flexibel erweitern und neue Angriffsformen einbinden.

Infrastruktur und Geschäftsmodell

Die Analyse zeigt, dass ShadowV2 über eine professionell aufgebaute Plattform verfügt. Hinter Cloudflare verborgen, betreiben die Angreifer eine Steuerungsoberfläche, die mit modernen Webframeworks wie FastAPI und Pydantic realisiert ist. Über ein Login-Panel und eine API lassen sich Benutzer verwalten, Angriffsarten konfigurieren und Ziel- oder Sperrlisten pflegen.

Das Geschäftsmodell ist damit klar: Angriffe können nach Bedarf gebucht werden, die Kunden erhalten Zugriff über eine Weboberfläche. Es handelt sich also nicht um ein lose zusammengeschustertes Botnetz, sondern um eine Dienstleistungsplattform – vergleichbar mit kommerzieller Software, nur eben für kriminelle Zwecke.

Einordnung in aktuelle DDoS-Trends

Die Veröffentlichung von ShadowV2 erfolgt in einer Phase besonders intensiver DDoS-Aktivitäten. Sicherheitsunternehmen berichten von Angriffen mit bisher unerreichter Größe: Die F5 Labs beispielsweise haben ein Web-Scanning-Botnetz entdeckt, das sich mit Mozilla-bezogenen Browser-User-Agents tarnt, um im Internet erreichbare Systeme nach bekannten Sicherheitslücken abzusuchen. Nach bisherigen Erkenntnissen nutzte das Botnetz bereits 11.690 verschiedene Mozilla-User-Agent-Zeichenketten für seine Scans.

Ein weiteres Beispiel: Cloudflare blockierte im Sommer 2025 Attacken mit Spitzen von über zwanzig Terabit pro Sekunde und mehr als zehn Milliarden Paketen pro Sekunde. Diese Rekordwerte dauerten zwar nur wenige Sekunden, zeigen aber das Potenzial moderner Botnetze. Erst wenige Wochen zuvor hatte das Webinfrastruktur-Unternehmen einen rekordverdächtigen volumetrischen Distributed-Denial-of-Service-Angriff abgewehrt, der Spitzenwerte von 11,5 Terabit pro Sekunde erreichte und lediglich rund 35 Sekunden andauerte.

Parallel dazu tauchen weitere Netzwerke auf, die in derselben Liga spielen. Besonders das von der chinesischen Sicherheitsfirma QiAnXin beschriebene AISURU-Botnetz fällt auf: Es kontrolliert rund 300.000 Geräte, vor allem Router und Überwachungskameras, und wird von einer kleinen Gruppe aus nur drei Leuten professionell verwaltet.

Die aktuelle Schadsoftware wurde technisch weiterentwickelt. Sie nutzt nun einen abgewandelten RC4-Algorithmus, um verschlüsselte Programmteile zu entschlüsseln. Außerdem führt sie Geschwindigkeitstests durch, um den Server mit der geringsten Verzögerung zu finden. Zusätzlich prüft sie, ob ein infiziertes Gerät Analysewerkzeuge wie tcpdump oder Wireshark sowie Virtualisierungsumgebungen wie VMware, QEMU, VirtualBox oder KVM enthält.

Nach Angaben von XLab hat das AISURU-Botnetz bereits weltweit Angriffe auf verschiedene Branchen durchgeführt. Besonders betroffen sind Regionen wie China, die Vereinigten Staaten, Deutschland, das Vereinigte Königreich und Hongkong. Die neuesten Versionen der Schadsoftware können nicht nur DDoS-Angriffe starten, sondern auch als Proxy-Dienst genutzt werden. Da der Druck durch internationale Strafverfolgungsbehörden zunimmt, steigt gleichzeitig die Nachfrage nach Diensten, die Angreifern Anonymität verschaffen.

ShadowV2 passt damit in einen Trend, bei dem Cybercrime-Infrastrukturen professionalisiert werden und wie kommerzielle Dienste funktionieren.

Risiken für Cloud-Betreiber

Für Betreiber von Cloud-Containern ergeben sich durch ShadowV2 gleich mehrere Risiken:

  • Fehlkonfigurationen von Docker-Diensten können innerhalb von Minuten ausgenutzt werden.
  • Ein kompromittiertes System wird Teil eines Botnetzes und kann für massive Angriffe missbraucht werden, was auch zu rechtlichen und finanziellen Folgen führt.
  • Die Verschleierung durch Containerisierung erschwert die forensische Analyse.
  • Die zunehmende Modularität bedeutet, dass neue Angriffsmethoden jederzeit ergänzt werden können.

Konkrete Abwehrmaßnahmen

Um nicht in die Falle von ShadowV2 zu geraten, empfehlen Experten eine mehrschichtige Sicherheitsstrategie:

  • Absicherung von Docker-Diensten: Schnittstellen nur lokal oder über dedizierte Managementnetzwerke freigeben, niemals ungeschützt ins Internet stellen.
  • Strikte Zugriffskontrollen: Starke Authentifizierung und Beschränkung auf bekannte Verwaltungspfade. Kurzzeit-Zugänge statt dauerhafter Berechtigungen.
  • Monitoring: Ungewöhnliche Container-Starts, verdächtige Image-Builds und ausgehender Datenverkehr in Richtung unbekannter Server müssen sofort auffallen.
  • Netzwerkschutz: Rate-Limiting, syn-cookies und DDoS-Mitigation-Lösungen für exponierte Endpunkte einsetzen.
  • Forensik-Strategien: Schreibgeschützte Protokollierung und Snapshot-Verfahren, um im Ernstfall Beweise sichern zu können.

Fazit

ShadowV2 zeigt eindrucksvoll, wie Angreifer Containerisierung für ihre Zwecke einsetzen: Sie nutzen Cloud-Fehlkonfigurationen, verschleiern ihre Spuren durch generische Container und bauen eine flexible Infrastruktur, die sich leicht erweitern lässt. Mit einer Bedienoberfläche und Mietmodellen wird aus dem Botnetz ein Dienstleistungsangebot für Kriminelle.

Für Unternehmen, die Cloud-Container einsetzen, ist das eine klare Warnung: Sicherheitslücken können nicht nur den eigenen Betrieb gefährden, sondern auch missbraucht werden, um Angriffe auf Dritte zu starten. Wer auf Docker und Amazon Web Services setzt, muss daher konsequent in Absicherung, Monitoring und DDoS-Schutz investieren. Denn die Professionalisierung von Botnetzen wie ShadowV2 ist ein weiterer Schritt hin zu einer Cybercrime-Industrie, die mit den Methoden und der Effizienz legaler Softwareanbieter arbeitet.

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.