Investigadores de ciberseguridad han expuesto una botnet discreta diseñada para ataques de denegación de servicio distribuido (DDoS). # Masjesu Botnet Emerge como Servicio de Alquiler de DDoS Bautizada como **Masjesu**, esta botnet se ha publicitado como un servicio de alquiler de DDoS en Telegram desde su aparición en 2023. Está diseñada para comprometer una diversa gama de dispositivos IoT, incluyendo routers y gateways, a través de varias arquitecturas.  Según Mohideen Abdul Khader F, investigador de seguridad en **Trellix**, "Construida para la persistencia y la baja visibilidad, Masjesu favorece una ejecución cuidadosa y discreta sobre la infección generalizada, evitando deliberadamente rangos de IP bloqueados, como los que pertenecen al Departamento de Defensa (**DoD**), para garantizar su supervivencia a largo plazo." # Conexión y Evolución de XorBot La oferta comercial también se conoce como XorBot debido a su uso de cifrado basado en XOR para ofuscar cadenas, configuraciones y datos del payload. **NSFOCUS** la documentó inicialmente en diciembre de 2023, atribuyéndola a un operador llamado "synmaestro". Una iteración posterior de la botnet agregó 12 exploits de inyección de comandos y ejecución de código, dirigidos a routers, cámaras, DVRs y NVRs de fabricantes como **D-Link**, **Eir**, **GPON**, **Huawei**, **Intelbras**, **MVPower**, **NETGEAR**, **TP-Link** y **Vacron**. Estos exploits se utilizan para el acceso inicial, junto con nuevos módulos para realizar ataques de inundación DDoS. **NSFOCUS** señaló en noviembre de 2024 que "Como una familia de botnets emergente, XorBot está mostrando un fuerte impulso de crecimiento, infiltrando y controlando continuamente nuevos dispositivos IoT… estos controladores están cada vez más inclinados a usar plataformas de redes sociales como Telegram como canales principales para reclutamiento y promoción."  # Orígenes del Ataque y Comportamiento del Malware La investigación de Trellix indica que Masjesu comercializa su capacidad para lanzar ataques DDoS volumétricos, enfatizando su diversa infraestructura de botnet para atacar redes de entrega de contenido (CDN), servidores de juegos y empresas. La mayoría de los ataques se originan en Vietnam, Ucrania, Irán, Brasil, Kenia e India, con Vietnam representando aproximadamente el 50% del tráfico observado. Una vez desplegado, el malware crea y vincula un socket con un puerto TCP codificado (55988) para permitir conexiones directas del atacante. El fallo de esta operación termina la cadena de ataque. El despliegue exitoso implica establecer persistencia, ignorar señales de terminación y detener procesos como `wget` y `curl`, potencialmente para interrumpir botnets competidoras. Luego, el malware se conecta a un servidor externo para recibir comandos de ataque DDoS. # Autopropagación y Explotación de Routers Realtek Masjesu posee capacidades de autopropagación, sondeando direcciones IP aleatorias en busca de puertos abiertos para expandir su infraestructura. Un objetivo notable son los routers **Realtek**, explotados escaneando el puerto 52869, asociado con el demonio `miniigd` del SDK de Realtek. Botnets como **JenX** y **Satori** han utilizado enfoques similares anteriormente. Trellix concluye: "La botnet continúa expandiéndose al infectar una amplia gama de dispositivos IoT en múltiples arquitecturas y fabricantes… Masjesu parece evitar atacar organizaciones críticas sensibles que podrían desencadenar una atención legal o de las fuerzas del orden significativa, una estrategia que probablemente mejora su supervivencia a largo plazo."