La web no funciona mágicamente. Tu navegador habla con un PC diciéndole: GET foro.elhacker.net
Entonces el PC del foro(servidor) ejecuta un código PHP que genera un código HTML. Este código te lo manda al navegador. El navegador utiliza un parser y genera lo que ves en base al código.

Cómo podrías remplazar un icono del foro hackeándolo para todo el mundo viese el cambio?
Por ejemplo este icono: está alohado en la url https://foro.elhacker.net/Smileys/fantasmas/tongue.gif podrías cambiarlo por cualquier imagen, por ejemplo esta que está en la siguiente url https://google.com/favicon.ico

Existen muchos ataques que te pueden permitir hacer este cambio:
Inyección de HTML:
Imagínate que este texto que lees se intepretase en tu navegador como código HTML en lugar de como texto. Podrías llegar a comentar el link original inyectándole comentarios:

<!--
<img src="https://foro.elhacker.net/Smileys/fantasmas/tongue.gif">
-->

Una vez comentado, no se vería el elemento comentado y podrías añadir el tuyo antes o después del comentario para que tu icono ocupe el lugar:

<!--
<img src="https://foro.elhacker.net/Smileys/fantasmas/tongue.gif">
-->
<img src="https://google.com/favicon.ico">

Inyección de javascript:
Si este texto fuese interpretado por tu navegador como código javascript, podría obtener el elemento html y remplazarle el atributo src actual (el link al fantasma con la lengua) por el link al icono de google:

<script>document.querySelectorAll("img[src='https://foro.elhacker.net/Smileys/fantasmas/tongue.gif']")[0].src="https://google.com/favicon.ico"</script>

Manipulación de cabeceras:
Cuando tu navegador y el PC del foro establecen una comunicación, utilizan el protocolo HTTP (míratelo en wikipedia). El protocolo HTTP permite compartir información a través de cabeceras, por ejemplo el servidor te indica la fecha con:

date: Sun, 20 Sep 2020 07:24:02 GMT

* Puedes verlas con burp suite o con el comando curl -I https://foro.elhacker.net

Tanto tu navegador como el PC del foro se envían cabecerss, pero también lo haces con otros PCs que te indique el código del foro o las propias cabeceras. Por ejemplo para ver mi perfil en el foro estás haciendo una petición con cabeceras a youtube.com para ver la imagen de del video que puse de Queen.

A parte, el foro para optimizarse y protegerse no expone su PC directamente a ti, si no que tu hablas con cloudflare, y es él quien habla con el PC del foro. Podría ser que cloudflare tenga 3 Pcs distintos a los que envia la información y este último al foro. De esta forma para obtener la web están transmitiendo lo que tu mandaste entre varios equipos. Esto posibilita desincronizaciones entre ellos, sobre todo si el PC del foro estuviese mal configurado.
Existen 2 cabeceras distintas que pueden indicar donde empiezan las cabeceras. Si 2 de estos Pcs interpretaran el mismo mensaje de forma distinta, es decir, uno toma una cabecera como indicador, y otro toma la otra, esto te posibilitaría a engañar a los Pcs para que piensen que se acabó tu comunicación y empezó otra. Entonces, cuando otro usuario del foro pida la página, se van a juntar en el mismo Pc un trozo de tu petición (tus cabeceras) y la petición de otro usuario.
El resultado es similar al ejemplo del comentario de HTML.

Subida de archivos + Path traversal:
Si el foro te dejase subir archivos y crease un espacio para ti tal que:
https://foro.elhacker.net/Tachikomaia/nombreDeTuArchivo
Si no filtrase caracteres en los nombres de usuario, podrías crear una cuenta con el nombre ../
Si subieses un archivo llamado index.html el archivo estaría en: https://foro.elhacker.net/../index.html
Lo mismo pasa con el propio nombre del archivo, de una carpeta, de una sección del foro...
Asique otra vez más podrías remplazar el icono subiendo un nuevo index.html
Muchos defaces antiguos se producían así.

Inyección de php:
Si puedes subir imágenes o archivos con doble extensiones, por ejemplo miCodigo.php.jpg puedes engañar a filtros cutres y conseguir que se ejecute el código, por lo que tranquilamente puedes cambiar el icono por ejemplo metiendo otra vez javascript.

Inyección en la base de datos:
Si el código php está haciendo una consulta a la base de datos para obetener los enlaces de los fantasmas o esta es accesible de alguna forma (por ejemplo ssrf a la red interna) y no filtra bien las consultas, puedes modificar el enlace guardado y apuntarlo al icono de google.


MITM:
Se puede realizar de diversas formas. La más común es alguien en el wi-fi o un exploit del router. Si sabes que yo tengo un router vulnerable y el foro no tuviese las medidas de seguridad disponibles, tu podrías enviarme un link para cambiarme la IP del servidor DNS de mi router por la IPnde tu servidor DNS. Cuando yo intente entrar al foro, tu servidor DNS me enviaría a un servidor web imitando el del foro o al servidor real del foro. Esto te permitiría modificar el icono.

A parte de estas formas, hay muchísimas otras.
Si quieres aprender haz páginas de retos de hacking, lee libros, programa apps vulnerables, exploits, fixes...

PD: El formulario puedes crearlo tú en un .html o desde la consola (F12) y enviarlo al foro. Para ello debes revisar los parámetros que acepta el servidor mirando el código y las peticiones con el Burp Suite. Si estás en Android también puedes modificar la web actual a través de la barra de direcciones con el pseudoprotocolo.
El pseudoprotocolo es de lo que más uso yo para hacking web.

El juego puede que esté escribiendo en el disco duro las armas de tu inventario. Puedes acceder al archivo en tu disco duro y cambiar el id de un arma de tu inventario por otro id de otra arma.
Pasa lo mismo con la memoria RAM o los datos que se envían y reciben por internet.

Se puede tomar control de la computadora de muchas formas. Con el uso normal que le das al PC estás utilizando millones de líneas de código todos los días. No es raro que muchas de ellas estén mal echas. A veces se encuentran esos errores y se utilizan para controlar la computadora.

Desde que un malware lo utiliza, un antivirus lo hashea y se añade a la base de datos sin comprobar si es un programa legítimo.

Los traductores son horribles xD.

Aprende inglés, no es tan complicado tener nivel como para leer y te sirve para todo.

Joer, mis experiencias distan mucho de las tuyas.

Si no te toman en serio por ser joven, vete a tu ayuntamiento/municipio o cercanos y pregúntales si es posible recoger los computadores y dispositivos que la gente tira por si puedes aprovechar algo.
Igual sacas un equipo juntando piezas y puedes tenerlo en casa y alquilarlo de hosting para páginas de vecinos y demás.
No es raro ver portátiles enteros con cpu o gráficas quemadas de los que puedes sacar batería, teclado, pantalla, trackpad, tarjeta de red, a veces ram... Lo pones en ebay y aún sacas algo xD.

Es asqueroso que ataquen hospitales.

Usa checksum para comprobar la integridad de la imagen.

A mi nunca me ha pasado pasado eso. Supongo que será un problema de piezas. Súbe la web y si te pasa en varios equipos distintos pásanos el link y revisamos el código.

Esto es super ilegal. Acabas en la cárcel si te pillan, que lo puedes ir dando por echo si estás preguntando como hacer una botnet. Al 100% te pillan.

Ahora, es un proyecto en el que puedes aprender un montón y divertirte. No necesariamente tiene que ser ilegal puedes decirle a amigos que lo instalen dejando por escrito de antemano que vas a tomar control completo de sus computadores/dispositivos cuando quieras y para hacer lo que quieras. No sería ilegal siempre y cuando no ataques páginas o cometas delitos.

Contestando a tus preguntas:
Qué lenguajes de programación necesito?
- Depende de que dispositivos vas a controlar. Yo personalmente utilizaría Java para controlar Android. C++ para controlar Windows y sistemas Unix. Como me gusta javascript lo incluiría para crear el panel de control de la botnet porque podría hacerlo desde cualquier dispositivo sin necesidad de instalar nada, solo con el navegador.

De forma ilegal se suele distribuir como un programa distinto que lleva oculto el malware. De forma legal pues lo subes a cualquier servidor web y pasas el link.

Ips en principio no debes añadir ninguna. En todo caso un dominio y le actualizas la resolución de nombres de dominio a tu ip actual, ya sea con ddns o de forma manual/semi-manual.

Puedes hacer una botnet sencilla en menos de 100 líneas de código. Pero tiene mucha chicha y prácticamente puedes tirarte meses y meses programándole cosas sin que ni siquiera tenga la mitad de cosas que le quieras meter.

Los pasos que seguiría serían los siguientes:
1. Crear el programa que se ejecuta en la víctima:
- Elegir el sistema objetivo.
- Elegir un lenguaje que se pueda ejecutar directamente sobre el sistema objetivo.
- Aprender a enviar información a través de internet desde ese lenguaje a un netcat local que actue de servidor para debuggear.
- Obtener la IP y el sistema operativo y enviarlas al netcat.
- Recibir una respuesta del netcat y ejecutar un comando en consecuencia.

2. Crear el servidor que se ejecuta en tu equipo:
- Crear un dominio con resolución ddns.
- Recibir datos de un netcat local.
- Mostrar los datos de forma organizada.
- Crear un panel de control.

3. Conectar varios clientes al servidor.
- Hardcodear el dominio en el cliente.
- Hacer que el cliente se autoinicie al encender.
- Enviar toda la info del cliente al servidor.
- Quedarse a la escucha.
- Responder a los clientes con una acción.
- Permitir responder individualmente o con acciones colectivas a los clientes.

4. Definir los objetivos del malware y sus capacidades futuras para determinar los siguientes pasos del desarrollo.

Yo también vi algún reportaje donde se hacían pasar por un cebo. Viendo el tipo de gente que hay por los chats no darán a basto.

Desde luego. Pero es todo tan obvio que da un poco igual porque los juezes están presionados, manipulados, puestos a dedo, sobornados, chantajeados o separados de casos donde puedan hacer su labor.
Hay que darles con su propia medicina. O haces política de forma pública, o haces política de forma privada para jugar al juego de la manipulación social.

Tanto los que "invitan" como los que violan son pederastas. No puedes mantener relaciones con un menor por el simple hecho de que no estás en igualdad de condiciones. Ni psicológicamente, sociológicamente, físicamente, sexualmente... De ser legal, se verían muchos casos en los que los menores aceptan tras verse sometidos a manipulaciones y la ley no podría actuar con eficacia en casos de manipulación.

No sé que tiene que ver tu historia homosexual traumática depresiva consentida con pedófilos. xD

Ni que tiene que ver tener una amistad con alguien con dejarse dar por culo. No encuentro la relación.

Yo iría primero a por los medios que te meten esas mierdas en la cabeza para sesgar a la población y que se dedique a darle palos a gente sin casa que se mete en una que el banco le robó a una familia hace un par de años. Con el objetivo que si quemas vivo a un ocupa, o el ocupa te saca un ojo con un cuchillo, que ambos seais noticia, os quemeis entre vosotros en vez del congreso y no se hable de los muertos en las residencias ni la educación política obligatoria en medio de una pandemia siendo de los países con peores perspectivas económicas y sanitarias.