Investigadores de ciberseguridad han levantado el telón sobre una botnet sigilosa diseñada para ataques distribuidos de denegación de servicio (DDoS).
Llamado masjesula botnet se ha anunciado a través de Telegram como un servicio de alquiler de DDoS desde que apareció por primera vez en 2023. Es capaz de apuntar a una amplia gama de dispositivos de IoT, como enrutadores y puertas de enlace, que abarcan múltiples arquitecturas.
«Construido para la persistencia y la baja visibilidad, Masjesu prefiere una ejecución cuidadosa y discreta a una infección generalizada, evitando deliberadamente rangos de IP bloqueados como los que pertenecen al Departamento de Defensa (DoD) para garantizar la supervivencia a largo plazo», dijo el investigador de seguridad de Trellix Mohideen Abdul Khader F. dicho en un informe del martes.
Vale la pena señalar que la oferta comercial también se conoce con el nombre de XorBot debido a su uso de cifrado basado en XOR para ocultar cadenas, configuraciones y datos de carga útil. Fue documentado por primera vez por el proveedor de seguridad chino NSFOCUS en diciembre de 2023, vinculándolo con un operador llamado «synmaestro».
«Como familia de botnets emergente, XorBot está mostrando un fuerte impulso de crecimiento, infiltrándose y controlando continuamente nuevos dispositivos de IoT», dijo NSFOCUS en noviembre de 2024. «En particular, estos controladores están cada vez más inclinados a utilizar plataformas de redes sociales como Telegram como canales principales para el reclutamiento y la promoción, atrayendo 'clientes' objetivo a través de actividades promocionales activas iniciales, sentando una base sólida para la posterior expansión y desarrollo de la botnet».
Los últimos hallazgos de Trellix muestran que Masjesu ha comercializado la capacidad de llevar a cabo ataques DDoS volumétricos, enfatizando su diversa infraestructura de botnet y su idoneidad para apuntar a redes de entrega de contenido (CDN), servidores de juegos y empresas. Los ataques organizados por la botnet se originan principalmente en Vietnam, Ucrania, Irán, Brasil, Kenia e India, y Vietnam representa casi el 50% del tráfico observado.
Una vez implementado en un dispositivo comprometido, el malware crea y vincula un socket con un puerto TCP codificado (55988) para permitir que el atacante se conecte directamente. Si esta operación falla, la cadena de ataque se elimina inmediatamente.
De lo contrario, el malware procede a configurar la persistencia, ignorar las señales relacionadas con la terminación, detener procesos comúnmente utilizados como wget y curl, posiblemente para interrumpir las botnets competidoras, y luego se conecta a un servidor externo para recibir comandos de ataque DDoS para ejecutarlos contra objetivos de interés.
Masjesu también se jacta de capacidades de autopropagación, lo que le permite sondear direcciones IP aleatorias en busca de puertos abiertos e integrar con éxito los dispositivos comprometidos en su infraestructura. Una adición notable a la lista de objetivos de explotación son los enrutadores Realtek, que se lleva a cabo escaneando en busca de 52869, un puerto asociado con SDK de Realtekminiigd demonio. Múltiples botnets DDoS, como JenX y Satorihan abrazado el mismo enfoque en el pasado.
«La botnet continúa expandiéndose al infectar una amplia gama de dispositivos IoT en múltiples arquitecturas y fabricantes», dijo Trellix. «En particular, Masjesu parece evitar apuntar a organizaciones críticas sensibles que podrían generar una atención legal o policial significativa, una estrategia que probablemente mejora su capacidad de supervivencia a largo plazo».
