**Hunt.io** entdeckte das Botnetz, nachdem es ein offenes Verzeichnis auf einem Server in den Niederlanden (IP-Adresse 176.65.139[.]44) fand, das keine Authentifizierung erforderte. ### DDoS-Fähigkeiten Die **xlabs_v1**-Malware verfügt über ein beeindruckendes Arsenal von "21 Flood-Varianten über TCP, UDP und Raw-Protokolle, einschließlich RakNet und OpenVPN-geformtem UDP", so Hunt.io. Diese Techniken sind darauf ausgelegt, gängige DDoS-Schutzmaßnahmen zu umgehen, was sie besonders effektiv gegen Spielserver und **Minecraft**-Hosts macht. ### Ziel: Android-Geräte über ADB Ein Hauptmerkmal von **xlabs_v1** ist die Fokussierung auf Android-Geräte mit exponierten ADB-Diensten auf TCP-Port 5555. Das bedeutet, dass Geräte wie Android TV-Boxen, Set-Top-Boxen und Smart-TVs, bei denen ADB standardmäßig aktiviert ist, anfällig sind. Die Malware enthält ein Android APK ("boot.apk") und unterstützt verschiedene Architekturen (ARM, MIPS, x86-64 und ARC), was auf ihre Fähigkeit hindeutet, auch Heimrouter und IoT-Geräte zu infizieren. ### DDoS-for-Hire-Betrieb Das Botnetz ist darauf ausgelegt, Angriffsbefehle von einem Kontrollpanel (xlabslover[.]lol) zu empfangen und eine Flut von bösartigem Traffic zu generieren. Hunt.io stellt fest, dass der Bot statisch gelinkter ARMv7 ist, auf bereinigten Android-Firmwares läuft und über ADB-Shell-Pasts in /data/local/tmp geliefert wird. ### Bandbreiten-Tiering und Preisgestaltung Beweise deuten darauf hin, dass der DDoS-for-Hire-Dienst Bandbreiten-gestaffelte Preise verwendet. Das Botnetz enthält eine Bandbreiten-Profiling-Routine, die Daten über die Bandbreite und Geolocation der Opfer sammelt. Es öffnet 8.192 parallele TCP-Sockets zum nächstgelegenen Speedtest-Server, sättigt diese für 10 Sekunden und meldet die Datenübertragungsrate zurück an das Panel. Diese Informationen werden dann verwendet, um jedes kompromittierte Gerät einer Preisstufe für Kunden zuzuordnen. ### Mangel an Persistenz Interessanterweise mangelt es dem Botnetz an Persistenzmechanismen. Es schreibt sich nicht auf die Festplatte, modifiziert keine Init-Skripte, erstellt keine systemd-Units und registriert keine Cron-Jobs. Dies deutet darauf hin, dass der Betreiber die Bandbreiten-Sondierung als seltene Operation zur Aktualisierung der Flotten-Tierings betrachtet, die eine erneute Infektion über den ADB-Exploitationskanal erfordert. ### Konkurrenzausschluss **xlabs_v1** enthält auch ein "Killer"-Subsystem, das darauf ausgelegt ist, konkurrierende Botnetze zu beenden, um die Upstream-Bandbreite des Opfers für eigene DDoS-Angriffe zu monopolisieren. Der Bedrohungsakteur hinter der Malware ist als "Tadashi" bekannt, basierend auf einer verschlüsselten Zeichenkette, die in jedem Build des Bots gefunden wurde. ### Möglicher Zusammenhang mit Monero-Mining Weitere Analysen der Infrastruktur deckten ein **VLTRig** Monero-Mining-Toolkit auf einem ko-lokalisierten Host (176.65.139[.]42) auf, obwohl unklar ist, ob derselbe Akteur für beide Aktivitäten verantwortlich ist. ### Bedrohungsstufe Hunt.io stuft **xlabs_v1** als Bedrohung der mittleren Stufe ein, anspruchsvoller als einfache **Mirai**-Forks, aber weniger fortgeschritten als Top-Tier-DDoS-for-Hire-Operationen. Der Betreiber konzentriert sich auf wettbewerbsfähige Preise und Angriffsarten und zielt auf Consumer-IoT-Geräte, Heimrouter und Betreiber kleiner Spielserver ab. ### Jenkins Honeypot Angriff In verwandten Nachrichten berichtete **Darktrace**, dass eine fehlkonfigurierte **Jenkins**-Instanz in seinem Honeypot-Netzwerk von unbekannten Akteuren angegriffen wurde, die ein DDoS-Botnetz von einem entfernten Server (103.177.110[.]202) herunterluden und dabei versuchten, der Erkennung zu entgehen. Dieser Vorfall unterstreicht die anhaltende Bedrohung für die Gaming-Branche und die Bedeutung der Implementierung geeigneter Abwehrmaßnahmen.