研究人员认为，Dark Frost是使用从Qbot、Gafgyt和Mirai恶意软件中窃取/泄露的源代码创建的，用于执行DDoS攻击。Web基础设施公司Akamai的安全情报响应团队发现了一个新的僵尸网络，该僵尸网络针对游戏行业进行DDoS攻击。Akamai安全研究员Allen West解释说，他们将这个僵尸网络命名为Dark Frost。根据他们的分析，这个僵尸网络类似于之前发现的几个僵尸网络和恶意软件变种，包括Qbot、Gafgyt和Mirai。研究人员认为，Dark Frost是使用从这些菌株中窃取的代码创建的，以允许攻击者成功执行DDoS攻击。

Akamai于2023年2月标记了该僵尸网络，但他们认为攻击者自2022年5月以来一直活跃。当Akamai研究人员对该僵尸网络进行逆向工程时，据报道其通过UDP洪水攻击的潜力为629.28Gbps。第一个二进制样本于2月28日在Akamai SIRT的 HTTP 蜜罐中收集。

据报道，威胁参与者的目标是Hadoop YARN服务器中的错误配置，这使他们能够进行远程代码执行。这种YARN错误配置自2014年以来就存在，但尚未分配CVE，因此攻击者可以诱骗服务器下载/运行他们的恶意二进制文件。

根据Akamai的博客文章，Dark Frost最突出的目标包括游戏公司、在线流媒体服务、游戏服务器托管提供商和游戏社区成员。事实上，研究人员指出，攻击者直接与这些成员进行了互动。

研究人员无法确定该活动的确切动机，但他们怀疑它是为了吸引注意力。有趣的是，威胁者甚至发布了攻击的现场录音。

他们也在社交媒体上吹嘘这些攻击，声称他们使用僵尸网络与对手算账，并在二进制文件上留下数字签名。该攻击者还创建了一个Discord频道来提供DDoS服务以换取金钱，这表明该活动也可能出于经济动机。

通常，僵尸网络包括遍布全球的成百上千台受损设备。在Dark Frost的案例中，它在短时间内包含了数百个受损设备。到2023年2月为止，这个僵尸网络有414台受感染的机器运行不同的指令集架构，包括x86、ARMv4、ARM7、MIPSEL和MIPS。