针对攻击的标的，大部分网络犯罪者主要锁定Windows平台而来，但如今也有专精Linux操作系统及其网络威胁生态的黑客，引起研究人员的注意。

中国资安业者奇安信揭露在5月下旬发现的DDoS僵尸网络Zergeca，研究人员指出对方以Go语言打造而成，具备6种DDoS攻击方式，除此之外还能充当代理服务器，或是用来进行网络扫描、文件传输、收集设备敏感数据，也能作为反向Shell使用。

值得留意的是，这个僵尸网络病毒还具备自我更新的功能，并能设法在受害电脑上持续运作。

研究人员也特别提及此僵尸网络在网络通信的层面有多项独特的地方，其中，他们发现对方主要使用DNS over HTTPS（DOH）解析C2通信内容，但这个僵尸网络病毒还具备其他数种解析DNS的能力；再者，攻击者运用罕见的串流通信程序库Smux创建与C2服务器的通信，并通过XOR算法加密通信流量。

他们也说明为何会特别关注这支僵尸网络病毒的动机，起因是看到自己的威胁情报系统侦测到可疑的ELF文件geomi，这个文件经由修改过的UPX加壳，从俄罗斯上传至恶意软件检测平台VirusTotal，结果所有杀毒引擎皆视为无害。接着他们又看到另一个具有相同特征的geomi文件从德国上传，这种从不同国家滥用VirusTotal进行测试的情况并不寻常，他们寻线进行分析，从而确认这是过往未曾揭露的僵尸网络病毒。

研究人员一共看到来自俄罗斯、德国、中国、法国的Zergeca僵尸网络病毒，并指出这些文件的功能几乎相同，但特别的是，除了最早发现的俄罗斯版本，其他3个文件鲜少有杀毒引擎视为有害。值得留意的是，若是解开黑客加壳的情况，所有的杀毒引擎都将视为无害。

根据黑客使用的C2服务器IP位址，研究人员发现自去年9月已用于2个Mirai僵尸网络，对此他们研判，攻击者先通过架设Mirai环境累积经验，后来才开发了Zergeca。

对于这个僵尸网络造成的灾情，主要集中在加拿大、美国、德国，大部分使用ACK洪水DDoS攻击，但其他国家也有受害组织。

研究人员对于恶意程序进行逆向工程，他们认为对方对于Linux资安威胁生态相当熟悉，且通过Smux打造的网络通信环境，代表黑客具备自行开发的能力，研判很有可能接下来这些黑客会从事更多攻击行动。