网络安全研究人员发现了一种名为Zergeca的新型僵尸网络(botnet)，它能够发动分布式拒绝服务(DDoS)攻击。

这种僵尸网络是用Golang编写的，其名称来源于指挥与控制(C2)服务器中的一个字符串“ootheca”(例如“ootheca[.]pw”和“ootheca[.]top”)。

“功能上来看，Zergeca不仅是一个普通的DDoS僵尸网络，它还支持六种不同的攻击方法，并具备代理、扫描、自我升级、持久化、文件传输、反向shell和收集敏感设备信息的能力”[19]，QiAnXin XLab团队在报告中说。

Zergeca尤其特别之处在于它使用HTTP协议下的DNS（DNS-over-HTTPS，DoH)来解析指挥与控制(C2)服务器，并使用一个叫Smux的鲜为人知的库进行C2通信。

有证据表明，该恶意软件正处于积极开发和更新阶段，以支持新的命令。而且，C2 IP地址84.54.51.82曾在2023年9月之前用于传播Mirai僵尸网络 [18] 。

截至2025年4月29日，同一IP地址正式作为新僵尸网络的C2服务器，这表明威胁行为者在创建Zergeca之前，已积累了操作Mirai僵尸网络的经验。

Zergeca僵尸网络发动的攻击主要是ACK flood DDoS攻击 ，并在2024年6月初至中期之间，针对加拿大、德国和美国进行了集中攻击。

Zergeca的功能覆盖四个不同模块，分别是持久化、代理、silivaccine和僵尸模块。这些模块用于通过添加系统服务来实现持久化，实施代理功能，删除其他竞争性的恶意矿工和后门程序，获得对运行x86-64 CPU设备的绝对控制，并执行主要的僵尸网络功能。

僵尸模块负有汇报受感染设备的敏感信息给C2并接收服务器命令的责任，且支持六种类型的DDoS攻击、扫描、反向shell等功能。

“内置的竞争对手列表显示其对常见Linux威胁的深刻了解，”XLab团队表示，“比如修改过的UPX打包、对敏感字符串进行XOR加密以及利用DoH隐藏C2解析等技术，展示了强有力的规避策略理解。”