ShadowV2 botnet gebruikt IoT-apparaten voor toekomstige massa-aanvallen

Het botnet werd eind oktober 2025 voor het eerst waargenomen, precies tijdens een periode van wereldwijde verbindingsproblemen bij Amazon Web Services (AWS). Volgens de beveiligingsonderzoekers is ShadowV2 ontworpen om grote hoeveelheden slimme apparaten – zoals routers, camera’s en DVR’s – over te nemen en in te zetten voor DDoS-aanvallen.

Testrun voor grotere aanval

Opvallend aan deze campagne is de timing en de duur. De activiteit van het botnet piekte tijdens de AWS-storing en stopte abrupt toen de cloudproblemen waren opgelost. Dit doet Fortinet vermoeden dat de aanvallers de chaos gebruikten als dekmantel om hun infrastructuur te testen ter voorbereiding op toekomstige, grootschaligere aanvallen.

Hoe het werkt

ShadowV2 is gebaseerd op de architectuur van Mirai, een bekende malwarefamilie die IoT-apparaten infecteert. De nieuwe variant scant het internet op apparaten die niet zijn bijgewerkt en buit diverse bekende kwetsbaarheden (CVE’s) uit in apparatuur van onder meer D-Link, TP-Link en Netgear.

Zodra een apparaat is geïnfecteerd, downloadt het een script (binary.sh) dat de volledige malware installeert. Vervolgens maakt het apparaat verbinding met een Command-and-Control (C2) server om instructies te ontvangen voor het uitvoeren van DDoS-aanvallen.

IoT blijft de zwakke schakel

De onderzoekers benadrukken dat IoT-apparaten nog steeds een "zwakke schakel" vormen in de wereldwijde cyberbeveiliging. Veel van deze apparaten worden zelden gepatcht en bevatten verouderde software, waardoor ze een makkelijk doelwit zijn voor botnets die rekenkracht verzamelen voor criminele doeleinden.

Advies: Beheerders en gebruikers wordt aangeraden om IoT-apparaten onmiddellijk van de laatste firmware-updates te voorzien en standaardwachtwoorden altijd te wijzigen.