Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Botnets Botnet de Masjesu

Botnet de Masjesu

El Mezo el Botnets
Traduir a:

Analistes de ciberseguretat han descobert una xarxa de bots altament encoberta dissenyada específicament per a atacs de denegació de servei distribuïts. Coneguda com a Masjesu, aquesta operació circula des del 2023 com a servei DDoS de lloguer, promocionat principalment a través dels canals de Telegram.

En lloc de perseguir infeccions massives, la botnet adopta un enfocament contingut i calculat. El seu disseny emfatitza la persistència i el sigil, evitant deliberadament objectius d'alt perfil com ara xarxes associades amb el Departament de Defensa. Aquesta estratègia redueix significativament la probabilitat de detecció i eliminació, permetent que l'operació perduri en el temps.

Doble identitat i operacions xifrades

Masjesu també es coneix com a XorBot, un nom derivat del seu ús de tècniques de xifratge basades en XOR. Aquests mètodes s'apliquen a cadenes, dades de configuració i càrregues útils obscures, cosa que complica els esforços d'anàlisi i detecció.

La botnet es va documentar per primera vegada el desembre de 2023 i es va vincular a un operador conegut com a "synmaestro". Des de la seva primera aparició, va demostrar un clar enfocament en mantenir una baixa visibilitat alhora que permetia un control remot eficient dels sistemes compromesos.

Expansió de l’arsenal i les capacitats d’explotació

Una versió més recent de la botnet, observada aproximadament un any després, va introduir millores significatives. Incorporava múltiples atacs d'injecció d'ordres i execució remota de codi dirigits a una àmplia gamma de dispositius de la Internet de les Coses, com ara encaminadors, càmeres, DVR i NVR de diversos fabricants importants.

Aquestes actualitzacions també incloïen mòduls dedicats per executar atacs d'inundació DDoS d'alt volum, reforçant el seu paper com a servei d'atac comercial.

Les capacitats clau inclouen:

  • Explotació de vulnerabilitats en diverses arquitectures de maquinari d'IoT
  • Integració de 12 vectors d'atac diferents per a l'accés inicial
  • Desplegament de mòduls especialitzats per a operacions DDoS volumètriques

Flux de treball d’infecció i mecanismes de persistència

Un cop un dispositiu està compromès, el programari maliciós inicia una cadena d'execució estructurada dissenyada per mantenir el control i evitar interferències. Estableix un sòcol vinculat a un port TCP codificat (55988), permetent la comunicació directa amb l'atacant. Si aquest pas falla, el procés d'infecció finalitza immediatament.

Si té èxit, el programari maliciós procedeix amb tècniques de persistència, suprimint els senyals de terminació i desactivant utilitats comunes com ara wget i curl, probablement per eliminar el programari maliciós competidor. A continuació, es connecta a un servidor extern de comandament i control per rebre instruccions i llançar atacs contra objectius designats.

Autopropagació i segmentació estratègica

Masjesu està equipat amb una funcionalitat d'autopropagació, que li permet escanejar adreces IP aleatòries per detectar sistemes vulnerables. Un cop identificats, aquests dispositius s'incorporen a la infraestructura de la botnet, ampliant la seva capacitat operativa.

Una tàctica notable consisteix a escanejar el port 52869, associat amb el servei miniigd del SDK de Realtek, un mètode que anteriorment utilitzaven altres botnets com ara JenX i Satori.

La distribució geogràfica del trànsit d'atac mostra concentració en:

  • Vietnam (aproximadament el 50% de l'activitat observada)
  • Ucraïna, Iran, Brasil, Kenya i Índia

Malgrat la seva expansió agressiva, la xarxa de bots evita atacar organitzacions crítiques o sensibles. Aquesta restricció deliberada redueix l'exposició legal i millora la supervivència a llarg termini.

Estratègia de comercialització i creixement

Masjesu continua evolucionant com a servei estructurat de ciberdelinqüència. Els seus operadors promouen activament les seves capacitats a través de Telegram, posicionant-lo com una solució escalable per a xarxes de distribució de contingut, infraestructures de jocs i sistemes empresarials.

Aquesta dependència de les plataformes de xarxes socials per a la contractació i la publicitat ha demostrat ser eficaç, permetent un creixement constant i atraient una base de clients interessats en llançar atacs DDoS sense coneixements tècnics.

Una ciberamenaça creixent i persistent

Com a família de botnets emergent, Masjesu demostra un fort impuls tant en sofisticació tècnica com en expansió operativa. La seva combinació de sigil, explotació dirigida i accessibilitat comercial la converteix en una amenaça notable dins del panorama modern de la ciberseguretat.

En prioritzar la persistència per sobre de la visibilitat i aprofitar les tècniques d'atac en evolució, la botnet continua infiltrant-se i controlant els entorns IoT a tot el món, alhora que minimitza el risc d'interrupció.

Tendència

Més vist

Carregant...